要求WEB服务器不能主动连接外网，但能正常响应WEB客户端,iptables如何设置？-steve78926-ChinaUnix博客

蓝海

首页　| 　博文目录　| 　关于我

steve78926

博客访问： 1237763
博文数量： 220
博客积分： 0
博客等级：民兵
技术积分： 1769
用户组：普通用户
注册时间： 2015-03-13 16:19

个人简介

努力, 努力, 再努力

文章分类

全部博文（220）

GREP（1）
GREP（0）
Backup（1）

BackupPC（1）
KVM（1）
虚拟化（1）

kvm（1）
生活日记（1）
openssh（2）
sed（1）
sed（1）
文件恢复（1）
运维自动化（3）

saltstack（2）
Docker（4）
flask-pycharm5（3）

pycharm5-git（1）
html（6）

Bootstrap（2）

CSS（4）
挖坑（1）
VPN（6）

SSL（2）
监控（11）

文件监控（1）

存储监控（1）

zabbix（3）

Cacti（6）

网络监控（0）
python（15）

python 概念（4）

python使用（6）

python报错（2）
QQ（0）
硬件（3）

存储（1）

磁盘（2）
PYTHON（6）

IDLE（1）

装饰器（5）
PC-打印机故障（1）

打印机问题（1）
同步软件（1）

rsync（1）
压力测试（7）

loadrunner（7）
XML（1）

XML格式（1）
性能调优（4）

linux（4）
安全漏洞（7）

漏洞扫描（1）

tomcat（2）

TCP协议（1）

apache（1）

apache（1）

struts2（0）
网站（7）

HTTP概念（1）

php（5）

nginx（1）
存储（8）

HBA（1）

IBM-V7000（2）

存储协议（1）

hp存储（1）

iscsi（2）
数据库（31）

SQLServer（4）

sql语句（3）

mysql备份（2）

DB2（1）

mysqlreport（2）

MySQL（18）
网络（6）

ICMP（1）

排障（1）

抓包（2）
读书笔记（3）

构建高性能Web站（1）
酷站推荐（18）
linux（36）

ps进程（1）

ps进程（0）

网卡设置（1）

shell（1）

tools（3）

crontab（1）

fpm-rpm（1）

静态库与动态库（1）

grep（1）

command（4）

centOS7（1）

编码（1）

日志（3）

安全（2）

图形程序（0）

ssh（2）

linux中文支持（1）

文件系统（1）

VIM（2）

图形（2）

iptables（2）

mysqld（2）

bash漏洞（1）

监控（1）
windows（3）

正版激活（1）

SNMP（0）

IIS（1）

系统跟踪（0）
JAVA（17）

JVM调优（1）

JVM调优（0）

JVM调优（0）

Tomcat（2）

java doc（5）

JAVA与数据库连接（1）

名词术语（2）

EHCache（2）

JDK（0）

JBOSS（3）
集群（0）

LVS（0）
手机（1）
Hadoop（1）
未分配的博文（0）

文章存档

2018年（8）

2017年（46）

2016年（75）

2015年（92）

我的朋友

linkinki

相关博文

要求WEB服务器不能主动连接外网，但能正常响应WEB客户端,iptables如何设置？

分类：系统运维

2017-01-10 16:04:06

以下是虚拟机配置测试，不是线上服务器的配置

# Generated by iptables-save v1.4.7 on Thu Jan 5 10:47:19 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [317413:324509565]
-A INPUT -s 132.19.43.161/32 -p tcp -m tcp -j DROP
-A INPUT -s 61.135.169.78/32 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -s 59.108.229.35/32 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -p tcp -m tcp --dport 9189 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -s 192.168.152.133/32 -p tcp --sport 80 -j ACCEPT                                    #允许服务器返回客户端的响应
-A OUTPUT -s 192.168.152.133/32 -p tcp -d 192.168.152.153 --dport 3260 -j ACCEPT   #允许服务器连接远程iscsi存储
-A OUTPUT -s 192.168.152.133/32 -p tcp --sport 22 -j ACCEPT                                    #允许服务接受SSH22
-A OUTPUT -s 192.168.152.133/32 -p tcp -d 192.168.152.163 --dport 22 -j ACCEPT       #允许服务器scp文件复制到192.168.152.163：22
-A OUTPUT -s 192.168.152.133/32 -p tcp --sport 8080 -j ACCEPT                                    #允许服务接受客户端的配置
-A OUTPUT -s 192.168.152.133/32 -j DROP
COMMIT
# Completed on Thu Jan 5 10:47:19 2017

阅读(1232) | 评论(0) | 转发(0) |

上一篇：TCPdump指定时间或者指定大小进行循环抓取报文

下一篇：apache禁止trace或track防止xss攻击

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6