Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1151145
  • 博文数量: 150
  • 博客积分: 2739
  • 博客等级: 少校
  • 技术积分: 2392
  • 用 户 组: 普通用户
  • 注册时间: 2010-12-07 12:28
文章分类

全部博文(150)

文章存档

2015年(2)

2014年(16)

2013年(10)

2012年(58)

2011年(64)

分类: LINUX

2015-01-14 13:48:16


测试系统:Centos 6.5 64bit

用途:机器安装好后防火墙安全设置



点击(此处)折叠或打开

  1. # Generated by iptables-save v1.4.7 on Wed Jan 14 21:32:55 2015
  2. *filter
  3. :INPUT ACCEPT [0:0]
  4. :FORWARD ACCEPT [0:0]
  5. :OUTPUT ACCEPT [0:0]
  6. -A INPUT -i lo -j ACCEPT
  7. #允许所有已经建立的和相关的连接
  8. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  9. -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
  10. -A INPUT -p tcp -m state --state NEW -m tcp --dport 8022 -j ACCEPT
  11. -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
  12. -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
  13. #丢弃坏的TCP包
  14. -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
  15. #处理IP碎片数量,防止攻击,允许每秒100个
  16. -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
  17. #设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包
  18. -A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
  19. #drop非法连接
  20. -A INPUT -m state --state INVALID -j DROP
  21. -A INPUT -j REJECT --reject-with icmp-host-prohibited
  22. -A INPUT -j DROP
  23. #
  24. -A FORWARD -m state --state INVALID -j DROP
  25. -A FORWARD -j REJECT --reject-with icmp-host-prohibited
  26. -A FORWARD -j DROP
  27. -A OUTPUT -o lo -j ACCEPT
  28. -A OUTPUT -m state --state INVALID -j DROP
  29. -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  30. -A OUTPUT -j ACCEPT
  31. COMMIT
  32. # Completed on Wed Jan 14 21:32:55 2015


阅读(1241) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~