Iptables常用配置和常用协议端口

由于在服务器部署时，为了方便部署，把本机的iptables都关上了，然后还手欠的保存了设置，再想找回来是不可能了，那就重新设置一些适合我的防火墙策略吧！

如果你使用远程连接到你的服务器，那么ssh端口是不可少的，不要把自己关在外面！

ssh默认端口号是22，可以通过/etc/sshd/sshd.conf来修改

iptables -I INPUT -p tcp --dport 22 -j ACCEPT

然后是拒绝所有的进入链接，有很多人用的DROP，下面简单说一下两者的区别：

iptables -A INPUT -j REJECT

   REJECT和DROP的区别是什么？某天听到Sery的解释，感觉说的很容易理解：

  “就好象骗子给你打电话，drop就是直接拒收。reject的话，相当于你还给骗子回个电话。”

    其实对于到底是使用DROP还是REJECT，从很久以前开始就非常多的人提出这方面的疑问。REJECT其实就比DROP多返回一个ICMP错误信息包，两个策略各有优劣，简单总结如下：

   DROP比REJECT好在节省资源，而且延缓黑客攻击的进度（因为不会给黑客返回任何有关服务器的信息）；坏在容易让企业的网络问题难以排查，而且在DDoS攻击的情况容易耗尽所有的带宽。

   REJECT比DROP的好处在于容易诊断和调试网络设备或防火墙造成的问题；坏处上面也说了，你给骗子回个电话，相当于暴露了自己的服务器信息。

   所以一般的建议是在上游防火墙中使用REJECT，在比较危险的面向外网的基础防火墙上，使用DROP要相对安全一些。（文章取自百度知道）

iptables -A是在当前已有记录下面追加一条规则，优先级比他上面的规则低

iptables -I 是在当前已有记录上面插入一条规则，优先级比他下面的规则高

所以，当添加好一天拒绝所有连接的规则后，下面配置的规则都应该在他的上面！

下面开始一些主要服务的端口开启：

开放icmp应答，ftp传输：

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

一.网站服务器

开放8080（tomcat）端口（httpd默认端口80）：

iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

二.文件服务器NFS

1.开放2049（NFS）端口和111（RPC）：

iptables -I INPUT -p tcp --dport 2049 -j ACCEPT

iptables -I INPUT -p tcp --dport 111 -j ACCEPT

iptables -I INPUT -p ucp --dport 111 -j ACCEPT

2.文件服务启动服务需开放回环端口

iptables -I INPUT -i lo -j ACCEPT 

3.开放mountd和lockd端口

①vim /etc/sysconfig/nfs

RQUOTAD_PORT=875

LOCKD_TCPPORT=32803

LOCKD_UDPPORT=32769

MOUNTD_PORT=892

②

iptables -I INPUT -p tcp --dport 892 -j ACCEPT

iptables -I INPUT -p udp --dport 892 -j ACCEPT

iptables -I INPUT -p tcp --dport 32803 -j ACCEPT

iptables -I INPUT -p udp --dport 32803 -j ACCEPT

iptables -I INPUT -p tcp --dport 32769 -j ACCEPT

iptables -I INPUT -p udp --dport 32769 -j ACCEPT

iptables -I INPUT -p udp --dport 875 -j ACCEPT

iptables -I INPUT -p tcp --dport 875 -j ACCEPT

三.网络攻击防御

允许一个网段ping 

iptables -I INPUT -p icmp -s 192.168.6.0/24 -j ACCEPT

防Ddos攻击：

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

--litmit 25/minute 指示每分钟限制最大连接数为25

--litmit-burst 100 指示当总连接数超过100时，启动 litmit/minute 限制

禁止Ping入

#允许内网(192.168.1.*)的ping入，允许ping出，禁止其它网段的ping入

iptables -A INPUT -p icmp --icmp-type 8 -s 192.168.1.0/24 -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 8 -j DROP

四.端口转发

将本机80端口的请求转发到8080端口：

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

将本机的81端口的请求全部转发到192.168.1.1:80

#首先要启用ipv4的转发功能：

echo 1 > /proc/sys/net/ipv4/ip_forward

#或者是修改/etc/sysctl.conf以便重启后也会启用转发，然后设定iptables：

iptables -t nat -A PREROUTING -p tcp --dport 81 -j DNAT --to 192.168.1.1:80

iptables -t nat -A POSTROUTING -j MASQUERADE

#如果开启了防火墙功能，注意要将80和81两个端口都打开

五.防火墙规则删除

显示所有规则的行号：

iptables -L INPUT --line-numbers 

删除对应的行号的规则：

iptables -D chain rulenum [options]

iptables -D INPUT number

注意：删除第一条规则后，第二条规则会成为第一条规则！

六.自动化规则设置

当你设置好一台服务器的规则时，还有很多规则差不多的服务器需要设置规则，这样的话，建议把所有规则复制到shell脚本中，直接一执行规则就设置好了！

本文出自 “linux运维技术” 博客，请务必保留此出处http://forall.blog.51cto.com/12356505/1908421