[root@vultr scripts]# cat iptables.sh #/bin/bash#date:2017-04-10#author:xjh#調(diào)試追蹤#set -x#清除規(guī)則iptables -Fiptables -Xiptables -Ziptables -t nat -Fiptables -t nat -Xiptables -t nat -Ziptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT#設(shè)定默認(rèn)規(guī)則iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROP#允許已建立的連接iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT#開(kāi)啟環(huán)回網(wǎng)絡(luò)iptables -A OUTPUT -o lo -j ACCEPTiptables -A INPUT -i lo -j ACCEPT#開(kāi)啟DNS解析iptables -A OUTPUT -p udp --dport 53 -j ACCEPT#開(kāi)啟shadowsocks代理端口iptables -A INPUT -p tcp -m multiport --dports 8080,8081,8082 -m state --state NEW -j ACCEPT#OUTPUT鏈默認(rèn)DROP，shadowsocks服務(wù)隨機(jī)端口去連外網(wǎng)，沒(méi)好的辦法暫時(shí)就開(kāi)目的地址80，443iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT#開(kāi)啟ftp服務(wù)端口端口（寫ftp策略iptables需要加模塊）iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPTiptables -A INPUT -p tcp --dport 20 -m state --state NEW -j ACCEPT#開(kāi)啟ssh服務(wù)端口并限制登錄頻率iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --setiptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 5 -j DROPiptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT#開(kāi)啟端口轉(zhuǎn)發(fā)iptables -A INPUT -p gre -j ACCEPTiptables -A OUTPUT -p gre -j ACCEPTiptables -A INPUT -p tcp --dport 1723 -m state --state NEW -j ACCEPTiptables -A FORWARD -s 10.0.1.0/24 -o eth0 -j ACCEPTiptables -A FORWARD -d 10.0.1.0/24 -i eth0 -j ACCEPTiptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j SNAT --to-source 45.76.210.222#兼容windows系統(tǒng)pptp客戶端MTU值iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -s 10.0.1.0/24 -j TCPMSS --set-mss 1400#保存配置/etc/init.d/iptables save