iptables防火墙设置

1,之前遇到过这样的一个情况,公司内网有些爬虫要把所爬取的内容加入到数据库中,但是晚上需要拒绝连接,下面是我第一次设置 

iptables -I INPUT -s ip -j DROP    #发现这样设置并不能阻止它进来,后来修改如下可以了(有可以像数据库这种连接是不是长连接导致的)

iptables -I INPUT -s ip -m state --state NEW,RELATED,ESTABLISHED -j DROP   

 

2,对于几十台服务器,如果每台服务器都设置复杂的iptbles不现实,于是我们可以这样设置,对于前端的提供服务器的iptables 可以设置复杂一点,后端服务器可以如下设置 

iptables -A INPUT -s ip(服务器内网ip) -j ACCEPT           #为什么这里是内网,因为几十台服务器在一个内网,服务器之间的跳转是能过内网的

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT     #这里设置 了state模块,只允许tcp状态为ESTABLISHED才通过,这样设置,OUTPUT为ACCEPT时,从服务器向外部可以连接,但是外网无法主动连接服务器

iptables -P INPUT DROP

 

 

-A PREROUTING -d 114.215.xx.xx/32 -p tcp -m tcp --dport 7000:7005 -j DNAT --to-destination 10.161.211.85

posted @ 2015-08-18 10:59  xiaohui163  阅读(236)  评论(0编辑  收藏  举报