iptables设置规范

2018-03-11

字数统计: 278字 | 阅读时长≈ 1分

一、Iptables配置流程：

先放行(务必包括SSH、本地回环以及已建立链)，后拒绝所有

二、关于Docker

iptables里面新增了docker项，除了iptables外，还需要配置docker启动配置文件，来关闭iptables动态将规则写入。

参考：Docker与iptables防火墙

三、优雅使用Iptables

cat /var/scripts/iptables.sh

#!/bin/bash
#清除规则
iptables -F
iptables -X
iptables -Z

#允许本地回环
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#允许已建立链通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  
#允许Ping
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

#开放SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT      
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

#Docker
iptables -A FORWARD -i docker0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o docker0 -j ACCEPT

#开放UDP
iptables -A INPUT -p udp --dport 53 -j ACCEPT      
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT  

#出去和转发的包默认允许
iptables -I INPUT -i eth0 -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables-save >/etc/sysconfig/iptables
systemctl restart iptables
iptables -nL

更新防火墙策略

1
2
3

sh /var/scripts/iptables.sh  

# 如果需要更新iptables策略，直接更新此脚本即可。

本文作者： GaryWu
本文链接： https://garywu520.github.io/2018/03/11/iptables设置规范/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true