当前位置:首页 > 计算机相关 > ubuntu系统 > 正文内容

ubuntu下设置iptables方法

piikee5年前 (2017-06-10)ubuntu系统740
# whereis iptables #查看系统是否安装防火墙可以看到:
iptables: /sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz #表示已经安装iptables
apt-get install iptables #如果默认没有安装,请运行此命令安装防火墙

# iptables -L #查看防火墙配置信息,显示如下:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

# vi /etc/iptables.rules
添加以下内容(备注:80是指web服务器端口,3306是指MySQL数据库链接端口,22是指SSH远程管理端口.)
有shadowsocks加一条: -I INPUT -p tcp -m tcp --dport 8809 -j ACCEPT
防止UDP的DDOS对外攻击加以下几条(几个IP为DNS服务器IP,必须允许,其他一律禁止):
-I OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT
-I OUTPUT -p udp --dport 53 -d 114.114.114.114 -j ACCEPT
-I OUTPUT -p udp --dport 53 -d 1.2.4.8 -j ACCEPT
-A OUTPUT -p udp -j DROP
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:syn-flood - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT

# iptables-restore < /etc/iptables.rules #使防火墙规则生效
# vi /etc/network/if-pre-up.d/iptables #创建文件,添加以下内容,使防火墙开机启动
#!/bin/bash
iptables-restore < /etc/iptables.rules

# chmod +x /etc/network/if-pre-up.d/iptables #添加执行权限
# iptables -L -n查看规则是否生效.

扫描二维码推送至手机访问。

版权声明:本文由萍客小居发布,如需转载请注明出处。

本文链接:https://www.piikee.net/1257.html

分享给朋友:

相关文章

(In some cases useful info about processes that use the device is found by lsof(8) or fuser(1))

 (In some cases useful info about processes that use the device is found by lsof(8) or fuser(1))的解决办法。在ubuntu系统中,想umount...

find命令多目录多文件查找和批量删除

linux,ubuntu,centos等系统下find文件查找命令的多目录多文件查找:find 目录一 目录二 目录三 -iname *.swf -or -iname *.txt -or -iname *.inc -or -iname *....

vi编辑器删除第一行到当前光标位置的命令

vi编辑器删除第一行到当前光标位置的命令为:1,.d其中1表示从第一行开始,逗号是分隔符,.表示当前行,也可以输入3表示第三行,d表示删除。...

ubuntu升级内核的方法(命令行升级ubuntu的内核)

sudo apt-get install linux-generic-lts-xenial linux-image-generic-lts-xenial一路y下去,最后reboot重启。重启完uname -a就可以看到新内核版本了。...

ubuntu下vi编辑器左右方向出错,删除和i键出错的解决办法

其实是ubuntu下vi编辑器是简单版本导致的,可以apt-get update,然后apt-get upgrade更新一下系统包。然后 apt-get install vim-full 安装全功能版本的vim编辑器。这样子就不会发生向右键...

ubuntu16最新版本下iotop无法使用的解决办法

ubuntu16更新到最新版本,启动iotop出现如下错误:Traceback (most recent call last):File "/usr/sbin/iotop", line 17, in <module>main()...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。