运维咖啡吧

追求技术的道路上,我从不曾停下脚步

生产环境下的IPTABLES标准配置

Iptables防火墙对于服务器的安全来说至关重要,这里列出生产使用的Iptables配置以供参考

#!/bin/bash
#last update date:2016/06/28
IPTABLES="/sbin/iptables"

$IPTABLES -F
$IPTABLES -F -t nat

# default accept
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -p ipencap -j ACCEPT
$IPTABLES -A INPUT -m state --stat RELATED,ESTABLISHED -j ACCEPT

# accept lannat
$IPTABLES -A INPUT -s 192.168.105.91 -p tcp --dport 32200 -j ACCEPT
$IPTABLES -A INPUT -s 192.168.106.153 -p tcp --dport 32200 -j ACCEPT

# web
$IPTABLES -I INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j ACCEPT

# all drop
$IPTABLES -A INPUT -j DROP

通常我会将服务器上的脚本文件统一存放于/home/scripts/目录下,并配置其开机自动启动

# cat /etc/rc.local
/bin/bash /home/scripts/iptables.sh