iptables详解

基本策略

#所有防火墙规则都放到一个shell脚本里，调整后就执行一遍
#所有规则都针对INPUT策略
#不设置出口限制，像ntp就是去出口访问ntpserver
#!/bin/sh

#首先先清空所有规则
/sbin/iptables -F

#for zabbix
#接受xx.xx.xx.xx：10050（zabbix-server）对本地的所有访问
/sbin/iptables -A INPUT -s xx.xx.xx.xx -p tcp --dport 10050 -j ACCEPT
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#for office:
#接受来自几个办公地点公网IP的所有访问
/sbin/iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT
/sbin/iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT

#for local
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

#for DNS:
/sbin/iptables -A INPUT -p tcp --source-port 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp --source-port 53 -j ACCEPT

#for ping:
#接受所有ping的请求和回复
/sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

#default:
#除了以上规则，所有输入和转发都丢弃
/sbin/iptables -A INPUT -j DROP
/sbin/iptables -A FORWARD -j DROP

　　

内网集群内规则

#在一个网段的服务器可以互联
/sbin/iptables -A INPUT -s 10.11.100.0/24    -p tcp --dport 6000:6999 -j ACCEPT

　　

前端接入节点（负载均衡器、web端口等）

#for client
#设定4700-4750端口为暴露在公网上的负载均衡节点，使客户端可以访问
#可以约定，负载均衡器的端口都设置在这个区间
#后端服务器需要给负载均衡器开放防火墙
/sbin/iptables -A INPUT -p tcp  --dport 4700:4750-j ACCEPT