web服务器iptables配置脚本 欢迎一起改进
实现代码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
|
#!/bin/bash # ID 201510192126 # Author Ricky # E-mail 564001002@qq.com IT运维管理技术交流群 16548318 # CentOS 6 系统初始优化脚本 # version 1.0.0 #add iptables yum -y install iptables #iptables conf bak if [ ! -e "/etc/sysconfig/iptables.bak" ]; then cp /etc/sysconfig/iptables /etc/sysconfig/iptables .bak > /dev/null 2>&1 fi #add config cat > /etc/sysconfig/iptables << EOF # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. # 防火墙规则有先后顺序,修改前请测试确定后更改 # E-Mail:564001002@QQ.COM *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :syn-flood - [0:0] #RELATED,ESTABLISHED -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #io -A INPUT -i lo -j ACCEPT #ping -A INPUT -p icmp -j ACCEPT #redis #-A INPUT -p tcp -m tcp --dport 6379 -j ACCEPT #-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 6379 -j ACCEPT #mysql #-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT #-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT #memcache #-A INPUT -p tcp -m tcp --dport 11211 -j ACCEPT #-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 11211 -j ACCEPT #php #-A INPUT -p tcp -m tcp --dport 9000 -j ACCEPT #-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 9000 -j ACCEPT #ssh -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT #-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --name SSH --rsource -j DROP #-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT #http 500 * 90% 需要限制情况下可以取消第一行注释 #-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT #https 500 * 90% 需要限制情况下可以取消第一行注释 #-A INPUT -p tcp -m tcp --dport 443 -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT #---service-------------------------------------------------- #DNS 安装DNS服务器后需要打开 #-A INPUT -p udp --sport 53 -j ACCEPT #ntp 配置ntp服务器时候需要打开 #-A INPUT -p udp --sport 123 -j ACCEPT #对外访问,比如api接口 需要结合OUTPUT DROP 全部关闭情况下才需要打开,这种限制非常严格情况下才配置 #-A OUTPUT -p tcp --dport 80 -j ACCEPT #-A OUTPUT -p tcp --dport 443 -j ACCEPT ###################################################################################### #以下#号部分未测试或为成功,并可能有错误开启之前请先测试,并保证能与你的环境匹配 #syn-flood #-A syn-flood -p tcp -m limit --limit 500/sec --limit-burst 10000 -j RETURN #------FIN SYN RST ACK SYN----------------- #-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT #-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10/sec --limit-burst 100 -j ACCEPT ###################################################################################### #PORTSAN 端口扫描拒绝,缺少工具没能测试好,请慎用。 #-A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG #-A INPUT -p tcp --syn -m recent --name portscan --set -j DROP -A INPUT -j REJECT --reject-with icmp-host-prohibited -A syn-flood -j REJECT --reject-with icmp-port-unreachable -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT EOF /sbin/service iptables restart source /etc/profile chkconfig iptables on /sbin/iptables -L - v chkconfig | grep iptables echo -e "\033[31m iptables ok \033[0m" |
感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!
原文链接:https://my.oschina.net/rickywiki/blog/521632