IPTABLES常用脚本

收集了2个不错的网址,也是别人收藏的。
http://www.cnblogs.com/bangerlee/archive/2013/02/27/2935422.html
http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html
http://blog.chinaunix.net/uid-366408-id-3190812.html
其次整理一些通用规则,在不熟悉的情况下可以直接COPY。

 
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A INPUT -j REJECT –reject-with icmp-host-prohibited
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
#for mysqld
-I INPUT -p tcp –dport 3306 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 3306 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 3306 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 3306 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 3306 -j ACCEPT
#for oracle db
-I INPUT -p tcp –dport 1521 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.25.0/24 -p tcp –dport 1521 -j ACCEPT
-I INPUT -s 192.168.100.0/24 -p tcp –dport 1521 -j ACCEPT
#for sshd
-I INPUT -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.65.0/24 -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.30.0/24 -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.31.0/24 -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.12.0/24 -p tcp –dport 9527 -j ACCEPT
#-I INPUT -s 192.168.22.0/24 -p tcp –dport 9527 -j ACCEPT
#search 1 caoduo
-I INPUT -p tcp –dport 9200 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9200 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9200 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9200 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 9200 -j ACCEPT
#search 2 caoduo
-I INPUT -p tcp –dport 9300 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9300 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9300 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9300 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 9300 -j ACCEPT
#tomcat_server1
-I INPUT -p tcp –dport 8001 -j ACCEPT
#tomcat_server2
-I INPUT -p tcp –dport 8002 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8002 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8002 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8002 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 8002 -j ACCEPT
#tomcat_server3
-I INPUT -p tcp –dport 8003 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8003 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8003 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8003 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 8003 -j ACCEPT
#tomcat_server4
-I INPUT -p tcp –dport 8004 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 8004 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 8004 -j ACCEPT
#tomcat_server5
-I INPUT -p tcp –dport 8005 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8005 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8005 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8005 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 8005 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 8005 -j ACCEPT
#tomcat_admin
-I INPUT -p tcp –dport 9799 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9799 -j ACCEPT
-I INPUT -s 192.168.23.0/24 -p tcp –dport 9799 -j ACCEPT
#for was7
-I INPUT -p tcp –dport 9043 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9043 -j ACCEPT
-I INPUT -p tcp –dport 9060 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9060 -j ACCEPT
-I INPUT -p tcp –dport 9080 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9080 -j ACCEPT
-I INPUT -p tcp –dport 9081 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9081 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 9081 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 9081 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 9081 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 9081 -j ACCEPT
#for rabbitmq
-I INPUT -p tcp –dport 5672 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 5672 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 5672 -j ACCEPT
#for fdfs
-I INPUT -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.65.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.30.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.31.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.12.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 192.168.22.0/24 -p tcp –dport 8090 -j ACCEPT
#-I INPUT -s 127.0.0.1 -p tcp –dport 8090 -j ACCEPT
-I INPUT -p tcp –dport 22122 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 22122 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 22122 -j ACCEPT
-I INPUT -p tcp –dport 23000 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 23000 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 23000 -j ACCEPT
#for hudson 6080
-I INPUT -p tcp –dport 6080 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 6080 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 6080 -j ACCEPT
-I INPUT -p tcp –dport 6060 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 6060 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 6060 -j ACCEPT
#for 电子账户
-I INPUT -p tcp –dport 8888 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 8888 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 8888 -j ACCEPT
#for 郑州 apache 测试
-I INPUT -p tcp –dport 7000 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7000 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7000 -j ACCEPT
#for weblogic 访问
-I INPUT -p tcp –dport 7001 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7001 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7001 -j ACCEPT
-I INPUT -p tcp –dport 7002 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7002 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7002 -j ACCEPT
-I INPUT -p tcp –dport 7003 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7003 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7003 -j ACCEPT
-I INPUT -p tcp –dport 7004 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.32.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 7004 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 7004 -j ACCEPT
-I INPUT -p tcp –dport 5556 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 5556 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 5556 -j ACCEPT
#for VNC 客户端
-I INPUT -p tcp –dport 5901 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 5901 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 5901 -j ACCEPT

#for 与55的zookeeper
-I INPUT -p tcp –dport 2888 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 2888 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 2888 -j ACCEPT
-I INPUT -p tcp –dport 3888 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 3888 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 3888 -j ACCEPT
-I INPUT -p tcp –dport 20882 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 20882 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 20882 -j ACCEPT
-I INPUT -p tcp –dport 20881 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 20881 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 20881 -j ACCEPT
-I INPUT -p tcp –dport 2182 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.30.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.31.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.40.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.41.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.42.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.12.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 192.168.22.0/24 -p tcp –dport 2182 -j ACCEPT
-I INPUT -s 127.0.0.1 -p tcp –dport 2181 -j ACCEPT
#for HR birthday app
-I INPUT -p tcp –dport 9798 -j DROP
-I INPUT -s 192.168.65.0/24 -p tcp –dport 9798 -j ACCEPT
#for svn evertalk @wenqiang
-I INPUT -p tcp –dport 9666 -j ACCEPT
#for svn all developer
-I INPUT -p tcp –dport 10443 -j ACCEPT
-I OUTPUT -p tcp –sport 10443 -j ACCEPT
-I INPUT -p tcp –dport 3343 -j ACCEPT
#for svn liucengrong
-I INPUT -p tcp –dport 8999 -j ACCEPT
#for svn? chanpan? zhangpeng
-I INPUT -p tcp –dport 9999 -j ACCEPT
#for web1
-I INPUT -p tcp –dport 81 -j ACCEPT
#for web2
-I INPUT -p tcp –dport 82 -j ACCEPT
#for jira caoduo zhanghao etc.
-I INPUT -p tcp –dport 8080 -j ACCEPT
#for 55:8081 nexus
-I INPUT -p tcp –dport 8081 -j ACCEPT
#for jenkins
-I INPUT -p tcp –dport 8888 -j ACCEPT
-I INPUT -p tcp –dport 8889 -j ACCEPT
COMMIT

 

===================================================

IPT=”/sbin/iptables”
$IPT –delete-chain
$IPT –flush
$IPT -P INPUT DROP #1
$IPT -P FORWARD DROP#1
$IPT -P OUTPUT DROP #1
$IPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT #2
$IPT -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT #3
$IPT -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT #3
$IPT -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT#3
$IPT -A INPUT -p tcp -m tcp –dport 873 -j ACCEPT #3
$IPT -A INPUT -i lo -j ACCEPT #4
$IPT -A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT#5
$IPT -A INPUT -p icmp -m icmp –icmp-type 11 -j ACCEPT #5
$IPT -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT #6
$IPT -A OUTPUT -p udp -m udp –dport 53 -j ACCEPT #7
$IPT -A OUTPUT -o lo -j ACCEPT #4
$IPT -A OUTPUT -p tcp -m tcp –dport 80 -j ACCEPT #8
$IPT -A OUTPUT -p tcp -m tcp –dport 25 -j ACCEPT #9
$IPT -A OUTPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT#10
$IPT -A OUTPUT -p icmp -m icmp –icmp-type 11 -j ACCEPT #10
service iptables save
service iptables restart
存为脚本iptables. sh,执行sh iptables. sh自动配置防火墙。
解释:
#1、设置INPUT,FORWARD,OUTPUT链默认target为DROP,也就是外部与服务器不能通信。
#2、设置当连接状态为RELATED和ESTABLISHED时,允许数据进入服务器。
#3、设置外部客户端连接服务器端口80,22,21,873。
#4、允许内部数据循回。
#5、允许外部ping服务器。
#6、设置状态为RELATED和ESTABLISHED的数据可以从服务器发送到外部。
#7、允许服务器使用外部dns解析域名。
#8、设置服务器连接外部服务器端口80。
#9、允许服务器发送邮件。
#10、允许从服务器ping外部。
iptables保存:iptables-save
iptables还原:iptables-restore

 

centos常用iptables脚本汇总

#!/bin/bash
export PATH=/sbin:/usr/sbin:/bin:/usr/bin

iptables -F
iptables -X
iptables -Z

#远程SSH登陆,我们要开启22端口
iptables -A INPUT -p tcp –dport 22 -j ACCEPT

#WEB服务器,开启80端口
iptables -A INPUT -p tcp –dport 80 -j ACCEPT

#邮件服务器,开启25,110端口.
iptables -A INPUT -p tcp –dport 110 -j ACCEPT
iptables -A INPUT -p tcp –dport 25 -j ACCEPT

#FTP服务器,开启20,21端口

iptables -A INPUT -p tcp -m multiport –dport 21,60000:60050 -j ACCEPT
#如果做了DNS服务器,开启53端口

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p udp –sport 53 -j ACCEPT
iptables -A INPUT -p udp –dport 53 -j ACCEPT
#对PING做设置
#iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -j DROP
#所以对别人的请求丢弃应该就可以达到别人无法PING的
#iptables -A OUTPUT -p icmp –icmp-type 0 -s localip -j DROP
#其实可以不要 包都丢弃了 还怎么会发出响应的包呢

iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -j ACCEPT
iptables -A INPUT -p icmp –icmp-type 0 -s 0/0 -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type 0 -s $FW_IP -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type 8 -s $FW_IP -j ACCEPT

#开放本机对外部80端口
iptables -A INPUT -p tcp ! –syn -s any/0 –sport 80 –dport 1024:65535 -j ACCEPT
iptables -P INPUT DROP

/etc/rc.d/init.d/iptables save
service iptables restart

 

### 允许一个外网IP访问规则

iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -s A.B.C.D -j ACCEPT
iptables -P INPUT DROP

发表评论

电子邮件地址不会被公开。 必填项已用*标注

This site uses Akismet to reduce spam. Learn how your comment data is processed.