这是一个创建于 3206 天前的主题,其中的信息可能已经有所发展或是发生改变。
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m multiport --destination-ports 22,80,443,53 -j ACCEPT
iptables -A INPUT -p udp -m multiport --destination-ports 53 -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
service iptables save
service iptables restart
献丑了...
 |
1
ryd994 2015-07-25 00:03:46 +08:00
都用firewalld了……
都用firewalld了…… 都用firewalld了…… 善用comment 没必要一个个判断state,连接多的时候判断state的开销还是很大的,开一个chain 别全用multiport混到一起,增删的时候一手贱就悲剧了 如果机房不靠谱的话不要drop而要reject with rst。有被伪造ip的可能。不过现在都不是光用ip做访问控制,而且机房也不至于干什么,所以没什么必要 先flush的话,遇到默认drop的就悲剧了,属于坑自己 还有你开53干嘛?等着被人用来放大么…… :INPUT DROP [816146:72864161] :FORWARD ACCEPT [26032234:15223215841] :OUTPUT ACCEPT [63339381:62088561409] :new_input - [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -p esp -m comment --comment ipsec -j ACCEPT -A INPUT -p gre -m comment --comment pptp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -j new_input -A new_input -p tcp -m tcp --dport 22 -j ACCEPT -A new_input -p tcp -m tcp --dport 80 -j ACCEPT -A new_input -p tcp -m tcp --dport 1723 -m comment --comment pptp -j ACCEPT -A new_input -p udp -m udp --dport 60000:60005 -m comment --comment mosh -j ACCEPT -A new_input -p udp -m multiport --dports 500,1701,4500 -m comment --comment l2tp_ipsec -j ACCEPT -A new_input -p tcp -m tcp --dport 8388 -m comment --comment shadowsocks -j ACCEPT |
 |
2
ETiV 2015-07-25 01:19:32 +08:00 via iPhone
默认policy千万别drop……
四年被坑过三次,这回死活都长记性了 |
Select Language