服务器需要开放的端口及iptables策略（信产）

未来无线

linux系统安装要求如下：

系统版本要求：CentOS 6.5 ~ 6.8；

平台需要开放的端口列表如下：

iptables规则

1. iptables文件

iptables文件位置：/etc/sysconfig/iptables，请现将iptables内容清空，完整复制保存下面的配置内容。
再重启防火墙生效 [root@st-cent ~]# service iptables restart

# Generated by iptables-save v1.4.7 on Mon Mar 12 18:58:54 2018
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [406759:54493316]
:MANAGEMENT - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type 8 -j MANAGEMENT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 8099 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 8861 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j MANAGEMENT 
-A INPUT -p tcp -m tcp --dport 31 -j MANAGEMENT 
-A INPUT -p tcp -m tcp --dport 1158 -j MANAGEMENT 
-A INPUT -p tcp -m tcp --dport 1521 -j MANAGEMENT 
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 6379 -j ACCEPT 
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 11211 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 8855 -m state --state NEW -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited  
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT 
-A OUTPUT -p icmp -m icmp ! --icmp-type 0 -j DROP 
-A OUTPUT -p udp -j DROP 
-A MANAGEMENT -s 118.26.10.53/32 -j ACCEPT 
-A MANAGEMENT -s 112.253.8.146/32 -j ACCEPT 
COMMIT
# Completed on Mon Mar 12 18:58:54 2018

重启防火墙服务生效后，查看iptables状态 service iptab status 应如下：

表格：filter
Chain INPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
3    MANAGEMENT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 
4    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00 
5    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW 
6    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x3F 
7    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 
8    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8099 
9   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8861 
10   MANAGEMENT  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
11   MANAGEMENT  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:31 
12   MANAGEMENT  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1158 
13   MANAGEMENT  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1521 
14   ACCEPT     tcp  --  127.0.0.1            0.0.0.0/0           tcp dpt:6379 
15   ACCEPT     tcp  --  127.0.0.1            0.0.0.0/0           tcp dpt:11211 
16   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:8855 state NEW 
17   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0 
2    DROP       icmp --  0.0.0.0/0            0.0.0.0/0           icmp !type 0 
3    DROP       udp  --  0.0.0.0/0            0.0.0.0/0           
Chain MANAGEMENT (4 references)
num  target     prot opt source               destination         
1    ACCEPT     all  --  118.26.10.53         0.0.0.0/0           
2    ACCEPT     all  --  112.253.8.146        0.0.0.0/0           

2.iptables规则说明

:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [406759:54493316]
:MANAGEMENT - [0:0]

• INPUT：默认DROP，仅对需要开放的端口或指定IP做ACCEPT策略；
• FORWARD、OUTPUT：默认ACCEPT
• MANAGEMENT：自建链，用于管理对SSH、数据库等有访问权限的IP地址；一般会添加对平台进行运维操作的指定IP

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type 8 -j MANAGEMENT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT 
-A OUTPUT -p icmp -m icmp ! --icmp-type 0 -j DROP 
-A OUTPUT -p udp -j DROP 

• 1 允许本机进程相关的业务包、已经建立连接的业务包数据进入
• 2 允许loopback
• 3 只允许接收从管理地址发出的ping请求包，其他IP地址全部拒绝
• 4 丢弃5个标记为都置0的TCP包
• 5 丢弃SYN标记不为1的请求新建立链接的包
• 6 丢弃5个标记位都置1的包
  4~6目的是预防SYN攻击。
• 7 OUTPUT 允许ping响应包
• 8 OUTPUT 拦截除了ping响应包之外的所有icmp协议包
• 9 OUTPUT 拦截其他的udp包

-A MANAGEMENT -s 118.26.10.53/32 -j ACCEPT 
-A MANAGEMENT -s 112.253.8.146/32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j MANAGEMENT 
-A INPUT -p tcp -m tcp --dport 31 -j MANAGEMENT 
-A INPUT -p tcp -m tcp --dport 1158 -j MANAGEMENT 
-A INPUT -p tcp -m tcp --dport 1521 -j MANAGEMENT 
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 6379 -j ACCEPT 
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 11211 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 8855 -m state --state NEW -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited  
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

• 1/2 添加管理地址白名单IP，以上的两个IP地址是我司的平台运维管理IP，请注意添加。
• 4~7 授权MANAGEMENT链中的地址，对22/31/1158/1521端口的访问
• 8/9 redis:6379端口、memcache:11211端口：因为是单机部署，不需要开放外网，这里设置只允许本机访问
• 10 开放8855端口，允许新建链接请求
• 11/12 拒绝不在以上任何一条规则允许的数据包，并发送一条 host prohibited 消息给被拒绝的主机。