濮阳杆衣贸易有限公司

主頁 > 知識庫 > 和大家一起分享不錯的iptables

和大家一起分享不錯的iptables
熱門標(biāo)簽:西寧人工外呼系統(tǒng)線路商 諾基亞地圖標(biāo)注app 高德地圖標(biāo)注樓房入駐 北京外呼防封系統(tǒng)是什么 江蘇保險智能外呼系統(tǒng)產(chǎn)品介紹 南昌四川外呼系統(tǒng) 個人電銷機器人 咸寧智能營銷電話機器人怎么樣 成都哪里有地圖標(biāo)注公司

我想下面的腳本很容易看懂!當(dāng)然 如果沒看懂提出來,我很樂意解答!當(dāng)然,也很希 望 你們可以指出錯誤 !很感謝大家的指導(dǎo) ,特別是platinum!
環(huán)境:redhat9 加載了string time等模塊,加載方法參照 http://bbs.chinaunix.net/forum/viewtopic.php?t=525493
etho 接外網(wǎng)──ppp0
eth1 接內(nèi)網(wǎng)──192.168.0.0/24

#!/bin/sh
#
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
###########################INPUT鍵###################################
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 110,80,25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 139 -j ACCEPT
#允許內(nèi)網(wǎng)samba,smtp,pop3,連接
iptables -A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT
#允許dns連接
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
#允許外網(wǎng)vpn連接
iptables -A INPUT -s 192.186.0.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
#為了防止DOS太多連接進來,那么可以允許最多15個初始連接,超過的丟棄
iptables -A INPUT -s 192.186.0.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
#為了防止DOS太多連接進來,那么可以允許最多15個初始連接,超過的丟棄
iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
iptables -A INPUT -p icmp -j DROP
#禁止icmp通信-ping 不通
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
#內(nèi)網(wǎng)轉(zhuǎn)發(fā)
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止SYN攻擊 輕量
#######################FORWARD鏈###########################
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport --dports 80,110,21,25,1723 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p gre -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT
#允許 vpn客戶走vpn網(wǎng)絡(luò)連接外網(wǎng)
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的8:00-12:30禁止qq通信
iptables -I FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的8:00-12:30禁止qq通信
iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
iptables -I FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的13:30-20:30禁止QQ通信
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的8:00-12:30禁止qq網(wǎng)頁
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 13:00 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的13:30-20:30禁止QQ網(wǎng)頁
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "ay2000.net" -j DROP
iptables -I FORWARD -d 192.168.0.0/24 -m string --string "寬頻影院" -j DROP
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "色情" -j DROP
iptables -I FORWARD -p tcp --sport 80 -m string --string "廣告" -j DROP
#禁止ay2000.net,寬頻影院,色情,廣告網(wǎng)頁連接 !但中文 不是很理想
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#禁止BT連接
iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 24 -j DROP
#只允許每組ip同時15個80端口轉(zhuǎn)發(fā)
#######################################################################
sysctl -w net.ipv4.ip_forward=1 >;/dev/null
#打開轉(zhuǎn)發(fā)
#######################################################################
sysctl -w net.ipv4.tcp_syncookies=1 >;/dev/null
#打開 syncookie (輕量級預(yù)防 DOS 攻擊)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 >;/dev/null
#設(shè)置默認(rèn) TCP 連接癡呆時長為 3800 秒(此選項可以大大降低連接數(shù))
sysctl -w net.ipv4.ip_conntrack_max=300000 >;/dev/null
#設(shè)置支持最大連接樹為 30W(這個根據(jù)你的內(nèi)存和 iptables 版本來,每個 connection 需要 300 多個字節(jié))
#######################################################################
iptables -I INPUT -s 192.168.0.50 -j ACCEPT
iptables -I FORWARD -s 192.168.0.50 -j ACCEPT
#192.168.0.50是我的機子,全部放行!
############################完#########################################

標(biāo)簽:中衛(wèi) 濮陽 綏化 電信 長春 長春 清遠(yuǎn) 金華

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《和大家一起分享不錯的iptables》,本文關(guān)鍵詞  和,大家,一起,分享,不,錯的,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《和大家一起分享不錯的iptables》相關(guān)的同類信息!
  • 本頁收集關(guān)于和大家一起分享不錯的iptables的相關(guān)信息資訊供網(wǎng)民參考!
    • 推薦文章
    岫岩| 张家港市| 铜陵市| 镇宁| 福贡县| 东兰县| 扶沟县| 桐梓县| 驻马店市| 进贤县| 桃园县| 离岛区| 封开县| 营口市| 普洱| 永春县| 富阳市| 株洲县| 顺义区| 于都县| 长丰县| 游戏| 乃东县| 宁明县| 富裕县| 康平县| 舒兰市| 阳新县| 北京市| 辽阳市| 青河县| 陇南市| 拉孜县| 长治市| 浑源县| 南华县| 彰化县| 澄城县| 廊坊市| 凤城市| 安义县|