Archive for September, 2013

CentOS一键配置iptables防火墙

CentOS一键配置iptables防火墙
手里几台VPS配置iptables太繁琐看到了朱哥的LNMP脚本里有一个自动配置iptables防火墙的脚本借来改了一下给需要的人用
只提供常用端口的设置如果你有特殊需求只需自行添加或减少相应的端口即可

使用方法

wget -c http://ph4ntasy.googlecode.com/files/iptables.sh
chmod +x iptables.sh
./iptables.sh
设置iptables开机自动启动

chkconfiglevel 345 iptables on
完整Shell

#!/bin / bash
PATH=/bin:/sbin:/usr / bin:/usr / sbin:/usr / local / bin:/usr/local/sbin:~/bin
export PATH
function support_distro(){
Eğer [ -z`egrep -i “CentOS” /etc/issue`” ];sonra
Eko “Sorry,iptables script only support centos system now.
çıkış 1
olmak
}
support_distro
Eko “============================iptables configure============================================
# Created by Centos.bz Modified by ph4ntasy.com
# Only support CentOS system
# 获取SSH端口
if grep^Port” /etc/ssh/sshd_config>/dev/null;sonra
sshdport=`grep^Port” /etc/ssh/sshd_config | seds/Ports//g`
Başka
sshdport=22
olmak
# 获取DNS服务器IP
Eğer [ -s /etc/resolv.conf ];sonra
nameserver1=`cat /etc/resolv.conf |grep nameserver |awk 'NR == 1{baskı $2 }’`
nameserver2=`cat /etc/resolv.conf |grep nameserver |awk ‘NR==2{baskı $2 }’`
olmak
IPT=”/sbin/iptables
# 删除已有规则
$IPTdelete-chain
$IPTflush
# 禁止进,允许出,允许回环网卡
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
# 允许已建立的或相关连接的通行
$IPT -A INPUT -m statestate RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m statestate RELATED,ESTABLISHED -j ACCEPT
# 限制80端口单个IP的最大连接数为10
$IPT -I INPUT -p tcp –Dport 80 -m connlimitconnlimit-above 10 -j DROP
# 允许80(HTTP)/873(RSYNC)/443(HTTPS)/20,21(FTP)/25(SMTP)端口的连接
$IPT -A INPUT -p tcp -m tcp –Dport 80 -j KABUL
$IPT -A INPUT -p tcp -m tcp –Dport 873 -j KABUL
$IPT -A INPUT -p tcp -m tcp –Dport 443 -j KABUL
$IPT -A INPUT -p tcp -m tcp –Dport 20 -j KABUL
$IPT -A INPUT -p tcp -m tcp –Dport 21 -j KABUL
$IPT -A INPUT -p tcp -m tcp –Dport 25 -j KABUL
# 允许SSH端口的连接,脚本自动侦测目前的SSH端口,否则默认为22端口
$IPT -A INPUT -p tcp -m tcpdport $sshdport -j ACCEPT
# 允许ping
$IPT -A INPUT -p icmp -m icmpicmp-type 8 -j KABUL
$IPT -A INPUT -p icmp -m icmpicmp-type 11 -j KABUL
# 允许DNS
[ ! -z “$nameserver1” ] && $IPT -A OUTPUT -p udp -m udp -d $nameserver1 –Dport 53 -j KABUL
[ ! -z “$nameserver2” ] && $IPT -A OUTPUT -p udp -m udp -d $nameserver2 –Dport 53 -j KABUL
# 保存规则并重启IPTABLES
service iptables save
service iptables restart
Eko “============================iptables configure completed============================================

Yorumlar

Php-ddos'un harici udp paketleri göndermesini önlemek için iptables kullanın

Php-ddos'un harici udp paketleri göndermesini önlemek için iptables kullanın
Son zamanlarda php-ddos seli,Özellikle bir sürü delikle rüyalar örmek,Bilirsin,İptables kullanabiliriz,Php-ddos'un paketleri kökten göndermesini yasakla。

UDP hizmetleri (DNS gibi) gerektiren bağlantı noktalarına izin vermeyi tercih edin

iptables -I ÇIKIŞ -p udp –Dport 53 -d 8.8.8.8 -j KABUL
iptables -I ÇIKIŞ -p udp –Dport 53 -d 8.8.4.4 -j KABUL
"53",DNS için gerekli UDP bağlantı noktası,"8.8.8.8" kısmı DNS IP'sidir,Sunucu ayarlarınıza göre,Mevcut sunucunuzun DNS IP'sini bilmiyorsanız,SSH'de aşağıdaki komut çalıştırılarak elde edilebilir:

cat /etc/resolv.conf |grep nameserver |awk 'NR == 1{baskı $2 }’
Makinenin UDP paketleri göndermesini yasaklayın

iptables -A ÇIKIŞ -p udp -j DAMLA

Yorumlar