iptables重置优化
-
apt install iptables-persistent
-
允许 SSH 流量(端口 22)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT- 清除所有规则
iptables -F # 清除所有链中的规则
iptables -X # 删除所有自定义链
iptables -t nat -F # 清除 NAT 表中的规则
iptables -t mangle -F # 清除 mangle 表中的规则- 设置默认策略为 DROP(拒绝所有不匹配的流量)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT # 允许所有输出流量- 确保本地回环接口流量允许通过
iptables -A INPUT -i lo -j ACCEPT- 允许已经建立的连接通过
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT- 允许 SSH 和 HTTP 流量
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT- 禁止外部访问docker 服务中的81端口
iptables -I DOCKER-USER -p tcp --dport 81 -j DROP- 保存规则
netfilter-persistent save- 禁止ping
iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-port-unreachable
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j REJECT --reject-with icmp-port-unreachable- 删除指定规则
iptables -L -n --line-number
iptables -D INPUT 7- 指定ip开放所有端口
iptables -I INPUT -s 10.0.0.144 -j ACCEPT
iptables -I INPUT -s 10.0.0.198 -j ACCEPT
iptables -A INPUT -s 152.70.01.83 -p tcp --dport 9100 -j ACCEPT- ip6tables相关
ip6tables -F # 清除所有链中的规则
ip6tables -X # 删除所有自定义链
ip6tables -t nat -F # 清除 NAT 表中的规则
ip6tables -t mangle -F # 清除 mangle 表中的规则
# 设置默认策略为 DROP(拒绝所有不匹配的流量)
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT # 允许所有输出流量
#确保本地回环接口流量允许通过
ip6tables -A INPUT -i lo -j ACCEPT
#允许已经建立的连接通过
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许 SSH 和 HTTP 流量
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 443 -j ACCEPT
ip6tables -I DOCKER-USER 1 -p tcp --dport 9100 ! -i lo -j DROP
# 允许来自 Docker 网络的出站流量及其响应
# 如果 Prometheus 容器在 docker_gwbridge 或 docker0 网络上
ip6tables -I DOCKER-USER 1 -i docker_gwbridge -j ACCEPT
ip6tables -I DOCKER-USER 2 -i docker0 -j ACCEPT
# 或者更通用的,基于ctstate
ip6tables -I DOCKER-USER 3 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT