CCS服务器上加上iptables之后的需要打开哪些端口以及实际的命令

发布时间:  2014-10-24 浏览次数:  227 下载次数:  0
问题描述
CC呼叫中心解决方案不需要在linux上开启iptables服务,但是客户明确要求要开启iptables服务,因此需要按照CC解决方案的通信矩阵来打开相应的ip端口来让cc的业务信息能够畅通无阻。
解决方案
iptables -A INPUT -p tcp --dport 8888 -j ACCEPT  进入目的端口为8888的放行
iptables -A OUTPUT -p tcp --dport 8888 -j ACCEPT 出去到目的端口为8888的放行

着重这条策略:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
资料:
参数 -m state --state
范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
说明 用来比对联机状态,联机状态共有四种:INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示该封包的联机编号(Session ID)无法辨识或编号不正确。
ESTABLISHED 表示该封包属于某个已经建立的联机。
NEW 表示该封包想要起始一个联机(重设联机或将联机重导向)。
RELATED 表示该封包是属于某个已经建立的联机,所建立的新联机。

现场策略完整脚本:

# - Allow self access by loopback interface
    iptables -A INPUT -i lo -p all -j ACCEPT
    iptables -A OUTPUT -o lo -p all -j ACCEPT

#allow web visit from the server
   iptables -A INPUT -p tcp --dport 80 -j ACCEPT
   iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
   iptables -A INPUT -p tcp --dport 8443 -j ACCEPT

#allow ccs from the server
iptables -A INPUT -p tcp --dport 8888 -j ACCEPT
iptables -A INPUT -p tcp --dport 8088 -j ACCEPT
iptables -A INPUT -p tcp --dport 1500 -j ACCEPT
iptables -A INPUT -p tcp --dport 5150 -j ACCEPT
iptables -A INPUT -p tcp --dport 5600 -j ACCEPT
iptables -A INPUT -p tcp --dport 9999 -j ACCEPT

#allow sshd from the server
iptables -A INPUT -p tcp  --dport 2313 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  iptables -A INPUT -p udp --sport 53 -j ACCEPT
  iptables -A INPUT -p udp --sport 123 -j ACCEPT

#Bandwidthd  
    iptables -A INPUT -p tcp  --dport 83  -j ACCEPT
#news.57575777.com   
    iptables -A INPUT -p tcp  --dport 20000 -j ACCEPT
#innermap   
    iptables -A INPUT -p tcp  --dport 8081 -j ACCEPT
#https
    iptables -A INPUT -p tcp  --dport 443  -j ACCEPT
    iptables -A INPUT -p tcp  --dport 8082  -j ACCEPT
    iptables -A INPUT -p tcp  --dport 8083  -j ACCEPT


#   - Accept local Samba connection
    iptables -P INPUT DROP

# ping
    iptables -A INPUT -p icmp  -j ACCEPT

## enable  multicast and vrrp protocol (IP Protocol # 112)

iptables -I INPUT -i eth0 -d 224.0.0.0/8 -j ACCEPT
iptables -A INPUT -p 112 -i eth0  -j  ACCEPT
iptables -A OUTPUT -p 112 -o eth0 -j ACCEPT

END