web服務器iptables配置腳本 歡迎一起改進
實現代碼:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
|
#!/bin/bash# ID 201510192126# Author Ricky# E-mail [email protected] IT運維管理技術交流群 16548318# CentOS 6 系統初始優化腳本# version 1.0.0#add iptablesyum -y install iptables#iptables conf bakif [ ! -e "/etc/sysconfig/iptables.bak" ]; then cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak > /dev/null 2>&1fi#add configcat > /etc/sysconfig/iptables << EOF# Firewall configuration written by system-config-securitylevel# Manual customization of this file is not recommended.# 防火墻規則有先后順序,修改前請測試確定后更改# E-Mail:[email protected]*filter:INPUT DROP [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]:syn-flood - [0:0]#RELATED,ESTABLISHED-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT#io-A INPUT -i lo -j ACCEPT#ping-A INPUT -p icmp -j ACCEPT#redis#-A INPUT -p tcp -m tcp --dport 6379 -j ACCEPT#-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 6379 -j ACCEPT#mysql#-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT#-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT#memcache#-A INPUT -p tcp -m tcp --dport 11211 -j ACCEPT#-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 11211 -j ACCEPT#php#-A INPUT -p tcp -m tcp --dport 9000 -j ACCEPT#-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 9000 -j ACCEPT#ssh-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT#-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --name SSH --rsource -j DROP#-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT#http 500 * 90% 需要限制情況下可以取消第一行注釋#-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT#https 500 * 90% 需要限制情況下可以取消第一行注釋#-A INPUT -p tcp -m tcp --dport 443 -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT#---service--------------------------------------------------#DNS 安裝DNS服務器后需要打開#-A INPUT -p udp --sport 53 -j ACCEPT#ntp 配置ntp服務器時候需要打開#-A INPUT -p udp --sport 123 -j ACCEPT#對外訪問,比如api接口 需要結合OUTPUT DROP 全部關閉情況下才需要打開,這種限制非常嚴格情況下才配置#-A OUTPUT -p tcp --dport 80 -j ACCEPT#-A OUTPUT -p tcp --dport 443 -j ACCEPT#######################################################################################以下#號部分未測試或為成功,并可能有錯誤開啟之前請先測試,并保證能與你的環境匹配#syn-flood#-A syn-flood -p tcp -m limit --limit 500/sec --limit-burst 10000 -j RETURN#------FIN SYN RST ACK SYN-----------------#-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT#-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10/sec --limit-burst 100 -j ACCEPT#######################################################################################PORTSAN 端口掃描拒絕,缺少工具沒能測試好,請慎用。#-A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG#-A INPUT -p tcp --syn -m recent --name portscan --set -j DROP-A INPUT -j REJECT --reject-with icmp-host-prohibited-A syn-flood -j REJECT --reject-with icmp-port-unreachable-A FORWARD -j REJECT --reject-with icmp-host-prohibitedCOMMITEOF/sbin/service iptables restartsource /etc/profilechkconfig iptables on/sbin/iptables -L -vchkconfig | grep iptablesecho -e "\033[31m iptables ok \033[0m" |
感謝閱讀,希望能幫助到大家,謝謝大家對本站的支持!
原文鏈接:https://my.oschina.net/rickywiki/blog/521632
