一次完整的 iptables 配置

iptables -t mangle -F
iptables -t filter -F

#配置filter表
### 允许 已连接的数据包 进入
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
### 允许 新建连接的 22 80 443 端口的 tcp 包 进入
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
### 拒绝 所有端口(建立在以上的条件下)
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
### 转发表 ttl 生存为 0 的包 丢弃
iptables -A FORWARD -p icmp -m icmp --icmp-type 11 -j DROP
iptables -A FORWARD -j ACCEPT
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
#udping测试Ping开放8139
iptables -t filter -I INPUT -p udp -m udp --dport 8139 -m limit --limit 400/sec -j ACCEPT
#mss调整1100
iptables -I FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --set-mss 1100
iptables -t filter -A INPUT -j REJECT

#清除nat
iptables -t nat -F
### 动态获取到的主机IP地址 替换为源地址 转发出去
iptables -t nat -A POSTROUTING -s 172.0.0.0/8  -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/16  -j MASQUERADE

你可能感兴趣的:(一次完整的 iptables 配置)