谁分享一下你的iptables规则

freebsd

原帖由 cpuer 于 2009-7-19 11:54 发表


这个问题不简单，需要高手来指导，freebsd对这个熟悉不？

我有些经常碰到的问题手熟而已，大多还是不懂的。我VPS上的，因为也没什么特别的应用，就这点已经足够了。另外配合个检查链接的脚本，封掉过多的单IP链接，可以抗小规模的CC攻击。

# Generated by iptables-save v1.3.5 on Sat Jul 11 20:56:49 2009
*filter
:INPUT ACCEPT [2252:481238]
:FORWARD ACCEPT [4159:1699710]
:OUTPUT ACCEPT [2165:1511096]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 50000:50200 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2222 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 1080 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 1080 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat Jul 11 20:56:49 2009
# Generated by iptables-save v1.3.5 on Sat Jul 11 20:56:49 2009
*nat
:PREROUTING ACCEPT [1852:110017]
:POSTROUTING ACCEPT [163:11676]
:OUTPUT ACCEPT [4:317]
# VPN用的
-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx  
COMMIT
# Completed on Sat Jul 11 20:56:49 2009

freebsd

原帖由 cpuer 于 2009-7-19 12:10 发表


开了，但是只做了非常基础的设置

我也是很基础的，好像iptables如果没什么特别的应用，也没什么花头好弄。

freebsd

原帖由 gdtv 于 2009-7-19 12:42 发表
分享我找到的一个
下面的规则是禁止ping的，请问怎样修改成允许ping？*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

-N LnD

-A LnD -p tcp -m limit --limit 1/s -j LOG --log-prefix "[TCP dr ...

很强，慢慢学习。。

允许ping 应该是 ：-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT  吧

cpuer

原帖由 freebsd 于 2009-7-19 13:29 发表


我有些经常碰到的问题手熟而已，大多还是不懂的。我VPS上的，因为也没什么特别的应用，就这点已经足够了。另外配合个检查链接的脚本，封掉过多的单IP链接，可以抗小规模的CC攻击。

...

我来学习下

gdtv

原帖由 freebsd 于 2009-7-19 13:45 发表


很强，慢慢学习。。

允许ping 应该是 ：-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT  吧

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
这样写可以吗？这是centos上默认的规则

freebsd

原帖由 gdtv 于 2009-7-19 14:02 发表

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
这样写可以吗？这是centos上默认的规则

能 ping 服务器。

gdtv

1. # Firewall configuration written by system-config-securitylevel
   
2. # Manual customization of this file is not recommended.
   
3. *filter
   
4. :INPUT ACCEPT [0:0]
   
5. :FORWARD ACCEPT [0:0]
   
6. :OUTPUT ACCEPT [0:0]
   
7. :RH-Firewall-1-INPUT - [0:0]
   
8. -A INPUT -j RH-Firewall-1-INPUT
   
9. -A FORWARD -j RH-Firewall-1-INPUT
   
10. -A RH-Firewall-1-INPUT -i lo -j ACCEPT
    
11. -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
    
12. -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
    
13. -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
    
14. -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
    
15. -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
    
16. -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
    
17. -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
18. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    
19. -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
    
20. COMMIT

复制代码

freebsd

最基本的，我的也就是添加了一些端口通过某些服务而已。

gdtv

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

cpuer

原帖由 gdtv 于 2009-7-19 14:06 发表
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firew ...

可惜我桌面没用Centos。