位置: 编程技术 - 正文
和大家一起分享不错的iptables(和大家一起分享一下你读书以后的感受吧)
编辑:rootadmin推荐整理分享和大家一起分享不错的iptables(和大家一起分享一下你读书以后的感受吧),希望有所帮助,仅作参考,欢迎阅读内容。
文章相关热门搜索词:和大家一起分享喜悦,和大家一起分享爱的温暖的作文,和大家一起分享你的煮饭过程吧,很荣幸能够站在这里和大家一起分享,和大家一起分享爱的温暖的作文,和大家一起分享交流,和大家一起分享的词语,和大家一起分享的词语,内容如对您有帮助,希望把文章链接给更多的朋友!
我想下面的脚本很容易看懂!当然 如果没看懂提出来,我很乐意解答!当然,也很希 望 你们可以指出错误 !很感谢大家的指导 ,特别是platinum!环境:redhat9 加载了string time等模块,加载方法参照 接外网──ppp0eth1 接内网──..0.0/
#!/bin/sh#modprobe ipt_MASQUERADEmodprobe ip_conntrack_ftpmodprobe ip_nat_ftpiptables -Fiptables -t nat -Fiptables -Xiptables -t nat -X###########################INPUT键###################################iptables -P INPUT DROPiptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -p tcp -m multiport --dports ,, -j ACCEPTiptables -A INPUT -p tcp -s ..0.0/ --dport -j ACCEPT#允许内网samba,smtp,pop3,连接iptables -A INPUT -i eth1 -p udp -m multiport --dports -j ACCEPT#允许dns连接iptables -A INPUT -p tcp --dport -j ACCEPTiptables -A INPUT -p gre -j ACCEPT#允许外网vpn连接iptables -A INPUT -s ..0.0/ -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A INPUT -i ppp0 -p tcp --syn -m connlimit --connlimit-above -j DROP#为了防止DOS太多连接进来,那么可以允许最多个初始连接,超过的丢弃iptables -A INPUT -s ..0.0/ -p tcp --syn -m connlimit --connlimit-above -j DROP#为了防止DOS太多连接进来,那么可以允许最多个初始连接,超过的丢弃iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "iptables -A INPUT -p icmp -j DROP#禁止icmp通信-ping 不通iptables -t nat -A POSTROUTING -o ppp0 -s ..0.0/ -j MASQUERADE#内网转发iptables -N syn-floodiptables -A INPUT -p tcp --syn -j syn-floodiptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURNiptables -A syn-flood -j REJECT#防止SYN攻击 轻量#######################FORWARD链###########################iptables -P FORWARD DROPiptables -A FORWARD -p tcp -s ..0.0/ -m multiport --dports ,,,, -j ACCEPTiptables -A FORWARD -p udp -s ..0.0/ --dport -j ACCEPTiptables -A FORWARD -p gre -s ..0.0/ -j ACCEPTiptables -A FORWARD -p icmp -s ..0.0/ -j ACCEPT#允许 vpn客户走vpn网络连接外网iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -I FORWARD -p udp --dport -m string --string "tencent" -m time --timestart 8: --timestop : --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP#星期一到星期六的8:-:禁止qq通信iptables -I FORWARD -p udp --dport -m string --string "TENCENT" -m time --timestart 8: --timestop : --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP#星期一到星期六的8:-:禁止qq通信iptables -I FORWARD -p udp --dport -m string --string "tencent" -m time --timestart : --timestop : --days Mon,Tue,Wed,Thu,Fri,Sat -j DROPiptables -I FORWARD -p udp --dport -m string --string "TENCENT" -m time --timestart : --timestop : --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP#星期一到星期六的:-:禁止QQ通信iptables -I FORWARD -s ..0.0/ -m string --string "qq.com" -m time --timestart 8: --timestop : --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP#星期一到星期六的8:-:禁止qq网页iptables -I FORWARD -s ..0.0/ -m string --string "qq.com" -m time --timestart : --timestop : --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP#星期一到星期六的:-:禁止QQ网页iptables -I FORWARD -s ..0.0/ -m string --string "ay.net" -j DROPiptables -I FORWARD -d ..0.0/ -m string --string "宽频影院" -j DROPiptables -I FORWARD -s ..0.0/ -m string --string "色情" -j DROPiptables -I FORWARD -p tcp --sport -m string --string "广告" -j DROP#禁止ay.net,宽频影院,色情,广告网页连接 !但中文 不是很理想iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROPiptables -A FORWARD -p tcp -m ipp2p --ares -j DROPiptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP#禁止BT连接iptables -A FORWARD -p tcp --syn --dport -m connlimit --connlimit-above --connlimit-mask -j DROP#只允许每组ip同时个端口转发#######################################################################sysctl -w net.ipv4.ip_forward=1 &>;/dev/null#打开转发#######################################################################sysctl -w net.ipv4.tcp_syncookies=1 &>;/dev/null#打开 syncookie (轻量级预防 DOS 攻击)sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established= &>;/dev/null#设置默认 TCP 连接痴呆时长为 秒(此选项可以大大降低连接数)sysctl -w net.ipv4.ip_conntrack_max= &>;/dev/null#设置支持最大连接树为 W(这个根据你的内存和 iptables 版本来,每个 connection 需要 多个字节)#######################################################################iptables -I INPUT -s ..0. -j ACCEPTiptables -I FORWARD -s ..0. -j ACCEPT#..0.是我的机子,全部放行!############################完#########################################
构筑Linux防火墙之IPtables的概念与用法(1) 构筑Linux防火墙之什么是Linux防火墙防火墙典型的设置是有两个网卡,一个流入,一个流出。iptables读取流入和流出的数据包的报头,然后将它们与规划
构筑Linux防火墙之IPtables的概念与用法(2) 目标(target)我们已经知道,目标是由规则指定的操作,那些与规则匹配的信息包执行这些操作。除了允许用户定义的目标之外,还有许多可用的目标
Linux架设DNS服务器(一) 一、域名系统介绍1.域名系统域名系统为一个分布式数据库,它使本地负责控制整个分布式数据库的部分段,每一段中的数据通过客户,服务器模式在整个网
