防火墙iptables之常用脚本-白红宇

防火墙iptables之常用脚本

阅读量：6111 次

发布时间：2019-06-21

本文共 2669 字，大约阅读时间需要 8 分钟。

1。不允许别人ping我的主机，但是我可以ping别人的主机

#!/bin/bashiptables -Fiptables -Xiptables -Zmodprobe ip_tablesmodprobe iptable_natmodprobe ip_nat_ftpmodprobe ip_nat_ircmodprobe ip_conntrackmodprobe ip_conntrack_ftpiptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROPiptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPTiptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -p icmp --icmp-type 0 -j ACCEPTiptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPTiptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT

2.普通web的防护脚本，只开放22和80端口

#!/bin/bashiptables -Fiptables -Xiptables -Zmodprobe ip_tablesmodprobe iptable_natmodprobe ip_nat_ftpmodprobe ip_conntrackiptables -P INPUT DROPiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPTiptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT

3.安全主机的防火墙脚本

iptables -F -t natiptables -Xiptables -Zmodprobe ip_tablesmodprobe iptable_natmodprobe ip_nat_ftpmodprobe ip_nat_ircmodprobe ip_conntrackmodprobe ip_conntrack_ftpiptables -P INPUT DROPiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPTiptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPTiptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -p tcp -m multiport --dports 22,25,110,143,80 -j ACCEPT

4.自定义脚本

#!/bin/bashfunction fire(){FTP="21"SSH="22"DNS="53"HTTP="80"MYSQL="3306"IP="192.168.56.102"if [ -f /etc/sysconfig/iptables ];thencp /etc/sysconfig/iptables /etc/sysconfig/iptables.`date +"%Y-%m-%d"`fi  #若防火墙已存在，便备份for mod in $modulesdotestmod=`lsmod | grep "^${mod}" | awk '{print $1}'`if [ "$testmod" = "" ];thenmodprobe $modfidone  #加载模块iptables -Fiptables -Xiptables -Z #清除本机防火墙所有规则iptables -P INPUT DROPiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT  #定义预设政策iptables -A INPUT -i lo -j ACCEPT #打开回环端口iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  #打开外挂模块iptables -A INPUT -p tcp --dport $FTP -j ACCEPT #允许ftp服务iptables -A INPUT -p tcp -s $IP  --dport $SSH -j ACCEPT #允许指定的主机可ssh到本机iptables -A INPUT -p tcp --dport $DNS -j ACCEPT #打开DNS服务iptables -A INPUT -p udp --dport $DNS -j ACCEPTiptables -A INPUT -p tcp --dport $HTTP -j ACCEPT #允许访问80端口iptables -A INPUT -p tcp --dport $MYSQL -j ACCEPT #允许访问数据库/sbin/iptables-save #保存防火墙规则}user=`whoami`if [ "$user" = "root" ];thenfireelseecho "the user must be root"fi  #该脚本需root用户执行