防火墙iptables之常用脚本
转自:http://zhujiangtao.blog.51cto.com/6387416/1286490
标签:防火墙 主机
1。不允许别人ping我的主机,但是我可以ping别人的主机
#!/bin/bash
iptables -F
iptables -X
iptables -Z
modprobe ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT
2.普通web的防护脚本,只开放22和80端口
#!/bin/bash
iptables -F
iptables -X
iptables -Z
modprobe ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT
3.安全主机 的防火墙脚本
iptables -F -t nat
iptables -X
iptables -Z
modprobe ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,25,110,143,80 -j ACCEPT
4.自定义脚本
#!/bin/bash
function fire(){
FTP="21"
SSH="22"
DNS="53"
HTTP="80"
MYSQL="3306"
IP="192.168.56.102"
if [ -f /etc/sysconfig/iptables ];then
cp /etc/sysconfig/iptables /etc/sysconfig/iptables.`date +"%Y-%m-%d"`
fi #若防火墙已存在,便备份
for mod in $modules
do
testmod=`lsmod | grep "^${mod}" | awk '{print $1}'`
if [ "$testmod" = "" ];then
modprobe $mod
fi
done #加载模块
iptables -F
iptables -X
iptables -Z #清除本机防火墙所有规则
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT #定义预设政策
iptables -A INPUT -i lo -j ACCEPT #打开回环端口
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #打开外挂模块
iptables -A INPUT -p tcp --dport $FTP -j ACCEPT #允许ftp服务
iptables -A INPUT -p tcp -s $IP --dport $SSH -j ACCEPT #允许指定的主机可ssh到本机
iptables -A INPUT -p tcp --dport $DNS -j ACCEPT #打开DNS服务
iptables -A INPUT -p udp --dport $DNS -j ACCEPT
iptables -A INPUT -p tcp --dport $HTTP -j ACCEPT #允许访问80端口
iptables -A INPUT -p tcp --dport $MYSQL -j ACCEPT #允许访问数据库
/sbin/iptables-save #保存防火墙规则
}
user=`whoami`
if [ "$user" = "root" ];then
fire
else
echo "the user must be root"
fi #该脚本需root用户执行
![[转载] java中50个关键字以及各自用法大全](http://pic.xiahunao.cn/[转载] java中50个关键字以及各自用法大全)
![[转载] Java中的final变量、final方法和final类](http://pic.xiahunao.cn/[转载] Java中的final变量、final方法和final类)
![[转载] java中的经典问题:传值与传引用](http://pic.xiahunao.cn/[转载] java中的经典问题:传值与传引用)
![[3/21]Windows Server 2008时钟方面的改进展示](http://pic.xiahunao.cn/[3/21]Windows Server 2008时钟方面的改进展示)
![[转载] 黑马程序员_学习笔记8_C#基础归纳之数组](http://pic.xiahunao.cn/[转载] 黑马程序员_学习笔记8_C#基础归纳之数组)
![[转载] JAVA笔记_(Day04,Day05)函数数组](http://pic.xiahunao.cn/[转载] JAVA笔记_(Day04,Day05)函数数组)
![[转载] Java ArrayList toArray(T[] a) 解惑](http://pic.xiahunao.cn/[转载] Java ArrayList toArray(T[] a) 解惑)
)
![[转载] 编译原理课程设计 基于Java的LL(1)文法预测分析程序](http://pic.xiahunao.cn/[转载] 编译原理课程设计 基于Java的LL(1)文法预测分析程序)
![[转载] Scanner和bufferreader读取控制台字符的区别](http://pic.xiahunao.cn/[转载] Scanner和bufferreader读取控制台字符的区别)
![[转载] Java实现归并排序(超详细,新手请进)](http://pic.xiahunao.cn/[转载] Java实现归并排序(超详细,新手请进))
![[转载] 1022 D进制的A+B (20分)【java题解】【80ms】](http://pic.xiahunao.cn/[转载] 1022 D进制的A+B (20分)【java题解】【80ms】)
