当前位置: 技术问答>linux和unix
[CentOS]iptables设置,刚弄死一台服务器,请各位帮我看看怎么修改
来源: 互联网 发布时间:2016-05-14
本文导语: 对外开放的服务有 http (80) / https (443) / ssh(1433) / ftp (1434 : 2000~2099) / 某服务 (12921/10086) 脚本如下: #!/bin/bash iptables -F iptables -X iptables -t nat -F iptables -t nat -X ServicePorts="80 443 1433 1434 2000:2099 10086 129...
对外开放的服务有 http (80) / https (443) / ssh(1433) / ftp (1434 : 2000~2099) / 某服务 (12921/10086)
脚本如下:
脚本如下:
#!/bin/bash
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
ServicePorts="80 443 1433 1434 2000:2099 10086 12921"
AccessPorts="20 21 22 53 80 443 1433 1434 2000:2099 3306 10086 12921"
#Default
iptables -P INPUT DROP
#Access
for aPort in $AccessPorts ; do
iptables -A INPUT -i eth1 -p tcp --sport $aPort -j ACCEPT
iptables -A INPUT -i eth1 -p udp --sport $aPort -j ACCEPT
done
#Service
for sPort in $ServicePorts ; do
iptables -A INPUT -i eth1 -p tcp --dport $sPort -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport $sPort -j ACCEPT
done
|
#!/bin/bash
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
ServicePorts="80 443 1433 1434 2000:2099 10086 12921"
AccessPorts="20 21 22 53 80 443 1433 1434 2000:2099 3306 10086 12921"
#Access
for aPort in $AccessPorts ; do
iptables -A INPUT -i eth1 -p tcp --sport $aPort -j ACCEPT
iptables -A INPUT -i eth1 -p udp --sport $aPort -j ACCEPT
done
#Service
for sPort in $ServicePorts ; do
iptables -A INPUT -i eth1 -p tcp --dport $sPort -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport $sPort -j ACCEPT
done
#Default
iptables -P INPUT DROP
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
ServicePorts="80 443 1433 1434 2000:2099 10086 12921"
AccessPorts="20 21 22 53 80 443 1433 1434 2000:2099 3306 10086 12921"
#Access
for aPort in $AccessPorts ; do
iptables -A INPUT -i eth1 -p tcp --sport $aPort -j ACCEPT
iptables -A INPUT -i eth1 -p udp --sport $aPort -j ACCEPT
done
#Service
for sPort in $ServicePorts ; do
iptables -A INPUT -i eth1 -p tcp --dport $sPort -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport $sPort -j ACCEPT
done
#Default
iptables -P INPUT DROP
|
我不来这里献丑了,低调的水过,msn上聊
|
#!/bin/bash
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
ServicePorts="80 443 1433 1434 2000:2099 10086 12921"
AccessPorts="20 21 22 53 80 443 1433 1434 2000:2099 3306 10086 12921"
#Default
iptables -P INPUT DROP
#Access
#这里应该是内到外访问吧。用-o
for aPort in $AccessPorts ; do
iptables -A INPUT -o eth1 -p tcp --sport $aPort -j ACCEPT
iptables -A INPUT -o eth1 -p udp --sport $aPort -j ACCEPT
done
#Service
#这里应该是外到内吧,用-i
for sPort in $ServicePorts ; do
iptables -A INPUT -i eth1 -p tcp --dport $sPort -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport $sPort -j ACCEPT
done
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
ServicePorts="80 443 1433 1434 2000:2099 10086 12921"
AccessPorts="20 21 22 53 80 443 1433 1434 2000:2099 3306 10086 12921"
#Default
iptables -P INPUT DROP
#Access
#这里应该是内到外访问吧。用-o
for aPort in $AccessPorts ; do
iptables -A INPUT -o eth1 -p tcp --sport $aPort -j ACCEPT
iptables -A INPUT -o eth1 -p udp --sport $aPort -j ACCEPT
done
#Service
#这里应该是外到内吧,用-i
for sPort in $ServicePorts ; do
iptables -A INPUT -i eth1 -p tcp --dport $sPort -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport $sPort -j ACCEPT
done
|
楼主理解得没错。
INPUT 数据包通过Route Table后,目地为本机
OUTPUT 由本机发出,进入Route Table前
其实iptables就是模拟了防火墙的特性,如果楼主配置过防火墙的话,应该很好理解iptables的配置规则。
INPUT 数据包通过Route Table后,目地为本机
OUTPUT 由本机发出,进入Route Table前
其实iptables就是模拟了防火墙的特性,如果楼主配置过防火墙的话,应该很好理解iptables的配置规则。
|
iptables -A INPUT -i eth1 -p tcp --sport $aPort -j ACCEPT
iptables -A INPUT -i eth1 -p udp --sport $aPort -j ACCEPT
数据包进入本机使用input策略访问本机的ServicePorts端口没错。
但是AccessPorts,只允许源端口是这几个端口的数据包的进入本机??
iptables -A INPUT -i eth1 -p udp --sport $aPort -j ACCEPT
数据包进入本机使用input策略访问本机的ServicePorts端口没错。
但是AccessPorts,只允许源端口是这几个端口的数据包的进入本机??
|
这个问题相当复杂,我私下跟你说
你就放1W分给偶好了.
你就放1W分给偶好了.
|
-o也应该是放在output链中,况且默认output都是access的,无需再定义。
不知楼主问题解决没,生产机应尽快恢复啊。。。
|
我是来接分的
|
不懂IPTABLES,纯粹是来接分的。。。
|
顺序不对吧,直接第一条语句就把所有的包给丢掉了。
|
你可以打印一下你当前的配置还有预设规则
iptables -L -n
由于不清楚你的input,output的预设规则怎样,
建议把accessport策略去掉看一下。
还有--sport最好和-s选项一起使用,用来限定某些地址的某些端口,而不是全部源地址。
iptables -L -n
由于不清楚你的input,output的预设规则怎样,
建议把accessport策略去掉看一下。
还有--sport最好和-s选项一起使用,用来限定某些地址的某些端口,而不是全部源地址。
|
iptables要做好确实不是很容易,不过多看点环境,多看点书,还是没什么问题的。
|
mark,我现在准备把iptables弄到开发板上去跑。。。
|
帮顶
|
恩? 楼主这么多分分,接分,帮顶
您可能感兴趣的文章:
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。