linux环境iptables配置
Linux iptables常用规则
设置一个自己用的表,
允许ping
允许ssh
允许 web
允许mysql
允许 ftp
允许dns查询
其他的拒绝.脚本如下
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:MY-Firewall-1-INPUT - [0:0]
-A INPUT -j MY-Firewall-1-INPUT
-A FORWARD -j MY-Firewall-1-INPUT
-A MY-Firewall-1-INPUT -i lo -j ACCEPT
-A MY-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A MY-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A MY-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A MY-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A MY-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A MY-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A MY-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A MY-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A MY-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
这样的话是所有人都可以连,但是有的时候22端口 或者3306端口希望指定的ip才能访问
可以用
-A MY-Firewall-1-INPUT–s 1.2.3.4 –p tcp–dport 22 –j ACCEPT
这样就限制了只有1.2.3.4这个ip才能连接22端口了.
关于iptables的另一种用法,通过公网ecs登陆使用内网地址的rds
1.允许数据包转发:
echo 1 > /proc/sys/net/ipv4/ip_forward
2.添加转发规则 3306到后端
iptables -t nat -I PREROUTING -p tcp --dport 3306 -j DNAT --to 10.157.80.138(根据分配给你的rds内网地址进行ping得到真实ip)
3.使转发数据包实现“双向通路”,给数据包设置一个正确的返回通道:
iptables -t nat -I POSTROUTING -p tcp --dport 3306 -j MASQUERADE
最新文章
- <;译>;通过PowerShell工具跨多台服务器执行SQL脚本
- 总结30个CSS3选择器
- 冰球项目日志1-yjw
- 【Java EE 学习 21 下】【使用java实现邮件发送、邮件验证】
- C# 值类型和引用类型及参数传递
- SAP 物料移动tcode
- 【HDOJ】【1693】Eat The Trees
- Samba nsswitch/pam_winbind.c文件输入验证漏洞
- windows提权操作以及系统开机关机重启代码(用到了LookupPrivilegeValue和AdjustTokenPrivileges调整进程的Token权限)
- 关于IE6幽灵字体
- [Drools]JAVA规则引擎 -- Drools
- Python之路Day6
- codility上的问题(26) Hydrogenium 2013
- 015模块&mdash;&mdash;起别名
- mac 电脑 打开隐藏文件
- putty-psftp
- java.net.UnknownHostException 异常处理
- Django开发笔记四
- 2019.01.26 codeforces 528D. Fuzzy Search(fft)
- Visual Studio 2017 调试 windows server 2016 Docker Container
热门文章
- hadoop-3.0.0-alpha4启动
- [存档]获取通讯录信息并写到SD卡上
- I.MX6 android 4.2 源码下载
- AutoIt: send 命令 VS ControlClick的使用
- Excel: 应用Match/Vlookup比较Excel两列的不同数据
- js 排列 组合
- js实现属性只读
- (水题)洛谷 - P1618 - 三连击(升级版)
- P5112 FZOUTSY
- CentOS 7.6 最小安装 ifconfig command not found 及 yum 不可用的解决办法