iptables防火墙企业级模板

目前公司业务已大多迁移至内网使用或者使用云主机，防火墙也渐渐不用了，在博客上记录一下，以免以后突然有用却找不到模板了。
此防火墙脚本执行时默认清空旧的防火墙规则。
放行本地loop网卡，DNS服务,NTF服务，ping服务，LVS(KEEPALIVE)服务，FTP服务，以及一些常用端口。
最后禁止所有未通过匹配规则的进入
防火墙
#!/bin/bash
/sbin/iptables -F
###Loop Network###
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -s 127.0.0.0/8 -j ACCEPT
/sbin/iptables -A OUTPUT -d 127.0.0.0/8 -j ACCEPT
##放行已经通过检测规则的通信###
/sbin/iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp  -m state --state ESTABLISHED,RELATED -j ACCEPT

###DNS SERVICE###
/sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
###NTP SERVICE###
/sbin/iptables -A INPUT -p udp --sport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
###Ping Remote Hosts###
/sbin/iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT 
/sbin/iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
###LVS(KEEPALIVED) SERVICE###
/sbin/iptables -A INPUT -p vrrp -j ACCEPT
/sbin/iptables -A OUTPUT -p vrrp -j ACCEPT
/sbin/iptables -A INPUT -s 224.0.0.0/8 -j ACCEPT
/sbin/iptables -A OUTPUT -d 224.0.0.0/8 -j ACCEPT

###FTP###
/sbin/iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 20:21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 31000:32000 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 31000:32000 -j ACCEPT

#####放开端口与IP
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 10050 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 10050 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 10050 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 10050 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --sport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT



/sbin/iptables -I INPUT -s 192.168.0.0/16 -j ACCEPT
/sbin/iptables -I OUTPUT -d 60.29.252.4 -j ACCEPT




##########DROP##########
/sbin/iptables -A INPUT -j DROP
/sbin/iptables -A OUTPUT -j DROP