基本策略
#所有防火墙规则都放到一个shell脚本里,调整后就执行一遍 #所有规则都针对INPUT策略 #不设置出口限制,像ntp就是去出口访问ntpserver #!/bin/sh #首先先清空所有规则 /sbin/iptables -F #for zabbix #接受xx.xx.xx.xx:10050(zabbix-server)对本地的所有访问 /sbin/iptables -A INPUT -s xx.xx.xx.xx -p tcp --dport 10050 -j ACCEPT /sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #for office: #接受来自几个办公地点公网IP的所有访问 /sbin/iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT /sbin/iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT #for local /sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #for DNS: /sbin/iptables -A INPUT -p tcp --source-port 53 -j ACCEPT /sbin/iptables -A INPUT -p udp --source-port 53 -j ACCEPT #for ping: #接受所有ping的请求和回复 /sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT /sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT #default: #除了以上规则,所有输入和转发都丢弃 /sbin/iptables -A INPUT -j DROP /sbin/iptables -A FORWARD -j DROP
内网集群内规则
#在一个网段的服务器可以互联 /sbin/iptables -A INPUT -s 10.11.100.0/24 -p tcp --dport 6000:6999 -j ACCEPT
前端接入节点(负载均衡器、web端口等)
#for client #设定4700-4750端口为暴露在公网上的负载均衡节点,使客户端可以访问 #可以约定,负载均衡器的端口都设置在这个区间 #后端服务器需要给负载均衡器开放防火墙 /sbin/iptables -A INPUT -p tcp --dport 4700:4750-j ACCEPT