linux-iptables多端口限制

在Linux网络应用中，我们经常需要开放一些端口给指定的IP，如果我们不对端口进行整理，就可能出现多开放一些有风险的端口，导致系统存在安全隐患。 1、连续端口，iptables默认就支持多个连续端口的规则 iptables  -A  INPUT  -s 192.168.122.0/23  -p  tcp --dport 21:23  -j  ACCEPT  #端口21 22 23 2、不连续的端口，iptables有一个mutiport的模块，需要手动指定加载一下 iptables  -A  INPUT  -s 192.168.122.0/23  -p  tcp -m multiport  --dport 21,23,27,44  -j  ACCEPT    #端口21 23  27  44 也可以配合连续IP的规则使用 iptables  -A  INPUT  -s 192.168.122.0/23  -p  tcp  -m multiport  --dport 21:23,2227:2230  -j  ACCEPT      #端口 21 22 23 2227  2228 2229  2230 一般在设置规则的时候，要先整理一下端口所属的服务，尽量将同一个服务的端口写在同一条，如果不是同一个服务的尽量分开，方便管理。

1、查看系统对外开放的端口

netstat -tunlp

把里面的端口全在/etc/sysconfig/iptables文件里配置一下，如果没有这个iptables文件，就创建一个

2、编辑/etc/sysconfig/iptables，如下：

# Generated by iptables-save v1.4.7 on Fri Aug 21 23:24:02 2015

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 111 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 8040 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 8042 -j ACCEPT

-A INPUT -p udp -m udp --dport 111 -j ACCEPT

-A INPUT -p udp -m udp --dport 631 -j ACCEPT

-A INPUT -p udp -m udp --dport 48894 -j ACCEPT

-A INPUT -p udp -m udp --dport 923 -j ACCEPT

-A INPUT -p udp -m udp --dport 942 -j ACCEPT

-A INPUT -s 192.168.61.163 -p tcp -m tcp --dport 0:65535 -j ACCEPT

-A INPUT -s 192.168.61.164 -p tcp -m tcp --dport 0:65535 -j ACCEPT

-A INPUT -s 1192.168.61.165 -p tcp -m tcp --dport 0:65535 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

# Completed on Fri Aug 21 23:24:02 2015

里面还配置了三台相近的服务器所有端口都可以访问

3、配置完之后重启防火墙就可以了

service iptables restart

---