那些遇到过的问题

如何在不被锁定的情况下配置 CentOS Iptables

cap*_*ino 5 centos

我正在尝试应用这些防火墙规则:

/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
/sbin/iptables -A OUTPUT -m state --state INVALID -j DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A FORWARD -i lo -o lo -j ACCEPT
/sbin/iptables -t mangle -F
/sbin/iptables -t mangle -X
/sbin/iptables -t mangle -Z
/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P INPUT ACCEPT
/sbin/iptables -t mangle -P FORWARD ACCEPT
/sbin/iptables -t mangle -P POSTROUTING ACCEPT
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t nat -Z
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 12443 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 11443 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 11444 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 8447 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 8443 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 8880 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 21 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 587 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 465 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 995 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 143 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 993 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 106 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 3306 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 5432 -j DROP

/sbin/iptables -A INPUT -p tcp --dport 9008 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 9080 -j DROP

/sbin/iptables -A INPUT -p udp --dport 137 -j DROP
/sbin/iptables -A INPUT -p udp --dport 138 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 139 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 445 -j DROP

/sbin/iptables -A INPUT -p udp --dport 1194 -j DROP




/sbin/iptables -A INPUT -p tcp --dport 26 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 2095 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 2096 -j ACCEPT

/sbin/iptables -A INPUT -p udp --dport 465 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp --dport 26 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp --dport 37 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp --dport 43 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp --dport 113 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp --dport 465 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp --dport 873 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp --dport 2089 -j ACCEPT

/sbin/iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

/sbin/iptables -A OUTPUT -p udp --dport 465 -j ACCEPT

/sbin/iptables -A OUTPUT -p udp --dport 873 -j ACCEPT




/sbin/iptables -A INPUT -p icmp --icmp-type 8/0 -j DROP

/sbin/iptables -A INPUT -j DROP

/sbin/iptables -A OUTPUT -j ACCEPT

/sbin/iptables -A FORWARD -j DROP
Run Code Online (Sandbox Code Playgroud)

但是,当我将它们复制并粘贴到命令行时,我被锁定在服务器之外(当然,因为规则是逐行应用的)。由于 /sbin/iptables -P INPUT DROP 首先执行,我如何一次应用这些规则,但允许 shell 访问的行随后出现(我已将其删除以保护我的 IP。

小智 4

我不会尝试通过将它们粘贴到终端来运行它们。我将 scp 它们并从单个脚本运行它们(可能只是将它们全部粘贴进去的 bash 脚本。

由于您拥有的数据量大约如此,我曾经遇到过将其粘贴到 ssh 终端实际上​​会导致一些数据丢失的情况(例如丢失了几行)。在这样的事情上,这确实不是一个好主意。显然,发生这种情况的可能性取决于链路质量和带宽。

另外,如果您正在使用 iptables 并且担心可能会将自己锁在外面,请设置一个脚本来清除 iptables(或将它们设置为您满意的工作),然后设置一个 cron 作业来执行它,或者让当您应用规则时会打开另一个窗口,只需执行“sleep 100 && ./cleariptables”或其他会产生影响的操作。当新规则成功并且您确定仍然可以登录时,请按 Ctrl+c。始终尝试建立新的 ssh 连接,如果您可能已阻止新的 ssh 连接,而当前的连接仅在已建立的情况下才起作用

归档时间:

查看次数:

3294 次

最近记录:

11 年,8 月 前
相关归档
Supervisord - CentOS 上的 ini 文件错误 25
无法通过 pecl install APC 安装 APC 19
为已安装的命令下载 RPM 包 14
增加文件系统后设备上没有剩余空间 9
可以将所有邮件重定向到单个地址的简单 SMTP 服务器? 5
如何检查我拥有的 syslinux 版本? 4
重启后 /var/run/postgresql 丢失 4
fail2ban iptables 具有端口 22 并且无法阻止自定义端口上的 ssh 3
如何在 Firewalld 中阻止 ip 范围 3
如何在 Centos 中验证软件包驻留在哪个存储库中? 2
难疑归档
从私钥创建公共 SSH 密钥? 245
在 /var/www 中处理 Apache 2 用户 www-data 权限的最佳方法是什么? 230
authorized_keys 和authorized_keys2 之间有什么区别? 169
Windows 服务器多久需要重启一次? 79
如何让scp复制隐藏文件? 71
为什么 ssh 代理转发不起作用? 70
gpg --gen-key 在 centos 6 上获得足够的熵时挂起 62
Windows 命令提示符:如何将命令的输出放入环境变量中? 62
通过 OpenSSL 从 P7B 转换为 PEM 61
如何使用 DNS/主机名或其他方式解析特定 IP:Port 54