请教高手关于用 iptables 配置LINUX服务器防火墙的脚本

1. vi iptables.sh

2. 在iptables.sh文件中写以下内容

#！/bin/bash

iptables -P INPUT DROP

IP=192.168.11.0/24

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -p udp --dport 53 -j ACCEPT (这三条满足入站要求1）

iptables -A INPUT -s $IP -p tcp --dport 23 -j ACCEPT 允许telnet

iptables -A INPUT -s $IP -p tcp --dport 22 -j ACCEPT 允许ssh

iptables -A INPUT -s $IP -p icmp -j ACCEPT 允许ping

我觉得这就可以了，因为output链我们没有关闭，所以是允许本主机访问其他主机的服务的，关键是其他主机是否会返回信息。

iptables -A INPUT -p tcp --dport 3306 -s 允许的ip -j ACCEPT

iptables -A INPUT -p tcp --dport 3306 -j DROP

iptables -t nat -A PREROUTING -d 220.231.xxx.xxx -p tcp --dport 2593 -j DNAT --to-destination 192.168.155.2:2593

iptables -t nat -A POSTROUTING -d 192.168.155.2 -p tcp --dport 2593 -j SNAT --to 192.168.155.1

iptables -A FORWARD -o eth0 -d 192.168.155.2 -p tcp --dport 2593 -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.155.2 -p tcp --sport 2593 -j ACCEPT

这个是一个端口映射(220.231.xxx.xxx:2593到192.168.155.2:2593)的配置你看一下, 就是改一下Ip地址就行

最后那两句是允许进出访问, 我记得吧accept改成 deny就禁止了 大同小异

---