#!/usr/bin/bash
# 1. 注意局域网网段(eth0)
# 2. 避开 VPN 网段 & 堡垒机: 10.6.43.x
# 3. 避开 Docker 网段(Docker0)
# 4. 避开 Qemu(libvirt) 网段(libvirt0)
# 5. 华为 JMS: 122.x.x.x
# 定义 IP 白名单(逗号分隔):
IPLIST='127.0.0.1,127.0.1.1,10.6.43.3,10.6.43.4,10.6.43.5,10.6.43.6,10.6.43.7,10.6.43.8'
# 清空 iptables:
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# 允许已经连接的服务
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 127.0.0.1
iptables -I INPUT 1 -i lo -j ACCEPT
# IP 白名单
iptables -A INPUT -s $IPLIST -j ACCEPT
# PORT 白名单
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 65341 -j ACCEPT
# 最后一句
iptables -A INPUT -j DROP