iptables配置示例-me09-ChinaUnix博客

温厚谦和

首页　| 　博文目录　| 　关于我

me09

博客访问： 1457913
博文数量： 408
博客积分： 10036
博客等级：上将
技术积分： 4440
用户组：普通用户
注册时间： 2006-04-06 13:57

文章分类

全部博文（408）

VPS（0）
LDAP（6）
PHP（2）
UNIX系统编程（4）
系统安全（54）
服务器架设（11）
技术资料文摘（27）
mail（7）
数据库（52）
翰海风云（22）
考证测试试题（1）
windows2003资料（25）

技术动态（2）
软件测试技术文档（2）
CGI编程（5）
VPN（1）
bind（9）
perl（9）
Squid代理（1）
shell（2）
freeBSD（2）
python（11）
iptables（22）
程序人生（7）
编程基础（31）
文件系统（6）
系统基础（39）
负载均衡（13）
存储备份（14）
路由网络（5）
debian（15）
未分配的博文（3）

文章存档

2011年（1）

2010年（2）

2009年（1）

2008年（3）

2007年（7）

2006年（394）

我的朋友

相关博文

iptables配置示例

分类： LINUX

2006-04-06 15:52:19

[root@yushin-cn ~]# cd nat
[root@yushin-cn nat]# cat nat
#!/bin/sh
#
/sbin/modprobe ip_nat_pptp
/sbin/modprobe ip_conntrack_pptp
/sbin/modprobe ppp_mppe
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -F
###################
#/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8000 -j DNAT --to 192.168.0.3:8080
#/sbin/iptables -t nat -A POSTROUTING  -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
#/sbin/iptables -t nat -A POSTROUTING  -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
###################################
/sbin/iptables -t nat  -A PREROUTING -i ppp0 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 192.168.0.3:8080
/sbin/iptables -t nat  -A PREROUTING -i eth0 -p tcp -m tcp -d 192.168.0.1 --dport 8000 -j DNAT --to-destination 192.168.0.3:8080
/sbin/iptables -t nat  -A POSTROUTING -o eth0 -p tcp -m tcp -s 192.168.0.0/255.255.254.0 -d 192.168.0.3 --dport 8080 -j SNAT --to 192.168.0.1
/sbin/iptables -t nat  -A POSTROUTING -o ppp0 -s 192.168.0.0/255.255.254.0 -d ! 192.168.0.0/255.255.254.0 -j MASQUERADE
###########################INPUT键###################################
/sbin/iptables -N syn-flood
/sbin/iptables -A INPUT -p tcp --syn -j syn-flood
/sbin/iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
/sbin/iptables -A syn-flood -j REJECT
#防止SYN攻击轻量
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -m string --algo bm --string "88ip.net" -j REJECT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m multiport --dports 110,80,25,22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 139 -j ACCEPT
#允许内网samba,smtp,pop3,连接
/sbin/iptables -A INPUT -i eth0 -p udp -m multiport --dports 53 -j ACCEPT
#允许dns连接
/sbin/iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
/sbin/iptables -A INPUT -p gre -j ACCEPT
#允许外网vpn连接
###################################
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 5/s -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP
/sbin/iptables -A INPUT -p icmp -j ACCEPT
#禁止icmp攻击
#######################FORWARD链###########################
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -s 192.168.0.50 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.50 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.4 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.4 -m state --state ESTABLISHED,RELATED -j ACCEPT
#################
/sbin/iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
/sbin/iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
/sbin/iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#########BT
/sbin/iptables -A FORWARD -m string --algo bm --string "qq.com" -j REJECT
/sbin/iptables -A FORWARD -m string --algo bm --string "sex.com" -j REJECT
/sbin/iptables -A FORWARD -m string --algo bm --string "色情电影" -j REJECT
/sbin/iptables -A FORWARD -m string --algo bm --string "激情图片" -j REJECT
/sbin/iptables -A FORWARD -m string --algo bm --string "成人电影" -j REJECT
/sbin/iptables -A FORWARD -m string --algo bm --string "电影" -j REJECT
##############
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#####################
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m time --timestart 12:30 --timestop 13:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j ACCEPT
##########12:30--13:30
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m time --timestart 7:50 --timestop 8:16 --days Mon,Tue,Wed,Thu,Fri,Sat -j ACCEPT
##########7:50--8:16
##########################################
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
########DNS
/sbin/iptables -A FORWARD -s 192.168.0.45 -m mac --mac-source 00:03:47:77:56:E3 -p tcp --dport 80 -j ACCEPT
###杨绍良
/sbin/iptables -A FORWARD -s 192.168.0.46 -m mac --mac-source 00:11:D8:94:BE:D9 -p tcp --dport 80 -j ACCEPT
######陈爱甜
/sbin/iptables -A FORWARD -s 192.168.0.44 -m mac --mac-source 00:0C:6E:ED:22:76 -p tcp --dport 80 -j ACCEPT
#####刘世平
/sbin/iptables -A FORWARD -s 192.168.0.3 -m mac --mac-source 00:0C:6E:EC:06:E0  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.3  -p tcp --dport 8000 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.3  -p tcp --dport 8080 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.0.3 -j ACCEPT
###################files-server
/sbin/iptables -A FORWARD -s 192.168.0.48 -j ACCEPT
#########城口
/sbin/iptables -A FORWARD -s 192.168.0.49 -j ACCEPT
#####根本#####
/sbin/iptables -A FORWARD -j DROP
#######################################################################
sysctl -w net.ipv4.ip_forward=1 &>/dev/null
#打开转发
#######################################################################
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null
#打开 syncookie （轻量级预防 DOS 攻击）
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null
#设置默认 TCP 连接痴呆时长为 3800 秒（此选项可以大大降低连接数）
sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/null
#设置支持最大连接树为 30W（这个根据你的内存和 /sbin/iptables 版本来，每个 connection 需要 300 多个字节）
#######################################################################
/sbin/iptables -I FORWARD -s 192.168.0.4 -m mac --mac-source 00:11:6B:24:82:A1 -j ACCEPT
#########AP#
/sbin/iptables -I FORWARD -i ppp1 -j ACCEPT
/sbin/iptables -I FORWARD -i ppp2 -j ACCEPT
/sbin/iptables -I FORWARD -i ppp3 -j ACCEPT
/sbin/iptables -I FORWARD -i ppp4 -j ACCEPT
/sbin/iptables -I FORWARD -i ppp5 -j ACCEPT
/sbin/iptables -I INPUT -s 192.168.0.50 -j ACCEPT
/sbin/iptables -I FORWARD -s 192.168.0.50 -j ACCEPT
#192.168.0.50是我的机子，全部放行！
############################完#########################################
###########################枫影-乡下猫#################################
/sbin/iptables -t nat -A PREROUTING -p tcp -m multiport --dport 4661,4662,6882,6881,5617,5627 -j DNAT --to 192.168.0.50
/sbin/iptables -t nat -A PREROUTING -p udp -m multiport --dport 4661,4662,6882,6881,5617,5627 -j  DNAT --to 192.168.0.50
/sbin/iptables -I FORWARD -p tcp -m multiport --dport 4661,4662,6882,6881,5617,5627 -j ACCEPT
/sbin/iptables -I FORWARD -p udp -m multiport --dport 4661,4662,6882,6881,5617,5627 -j ACCEPT

阅读(828) | 评论(0) | 转发(0) |

上一篇：没有了

下一篇：uml(user mode linux)资料

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6