Chinaunix首页 | 论坛 | 博客

kk5234的ChinaUnix博客netlyz.blog.chinaunix.net

首页 |  博文目录 |  关于我

kk5234

  • 博客访问: 215465
  • 博文数量: 87
  • 博客积分: 192
  • 博客等级: 入伍新兵
  • 技术积分: 455
  • 用 户 组: 普通用户
  • 注册时间: 2011-04-14 07:44
文章分类

全部博文(87)

文章存档

2013年(1)

2012年(86)

我的朋友
最近访客
推荐博文
iptables脚本

分类:

2012-04-14 16:50:45


  1. #echo "Starting kerryhu-iptables rules..."
  2. #!/bin/bash
  3. #this is a common firewall created by 2010-3-27
  5. #define some variable
  6. IPT=/sbin/iptables
  7. CONNECTION_TRACKING="1"
  8. INTERNET="eth0"
  9. CLASS_A="10.0.0.0/8"
  10. CLASS_B="172.16.0.0/12"
  11. CLASS_C="192.168.0.0/16"
  12. CLASS_D_MULTICAST="224.0.0.0/4"
  13. CLASS_E_RESERVED_NET="240.0.0.0/5"
  14. BROADCAST_SRC="0.0.0.0"
  15. BROADCAST_DEST="255.255.255.255"
  16. LOOPBACK_INTERFACE="lo"
  18. #Remove any existing rules
  19. $IPT -F
  20. $IPT -X
  22. #setting default firewall policy
  23. $IPT --policy OUTPUT ACCEPT
  24. $IPT --policy FORWARD DROP
  25. $IPT -P INPUT DROP
  28. #stop firewall
  29. if [ "$1" = "stop" ]
  30. then
  31. echo "Filewall completely stopped!no firewall running!"
  32. exit 0
  33. fi
  35. #setting for loopback interface
  36. $IPT -A INPUT -i lo -j ACCEPT
  37. $IPT -A OUTPUT -o lo -j ACCEPT
  39. # Stealth Scans and TCP State Flags
  40. # All of the bits are cleared
  41. $IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
  42. # SYN and FIN are both set
  43. $IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
  44. # SYN and RST are both set
  45. $IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
  46. # FIN and RST are both set
  47. $IPT -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
  48. # FIN is the only bit set, without the expected accompanying ACK
  49. $IPT -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
  50. # PSH is the only bit set, without the expected accompanying ACK
  51. $IPT -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
  52. # URG is the only bit set, without the expected accompanying ACK
  53. $IPT -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
  55. # Using Connection State to By-pass Rule Checking
  56. if [ "$CONNECTION_TRACKING" = "1" ]; then
  57. $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  58. $IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  59. $IPT -A INPUT -m state --state INVALID -j DROP
  60. $IPT -A OUTPUT -m state --state INVALID -j DROP
  61. fi
  63. ##################################################################
  64. # Source Address Spoofing and Other Bad Addresses
  66. # Refuse spoofed packets pretending to be from
  67. # the external interface.s IP address
  69. # Refuse packets claiming to be from a Class A private network
  70. $IPT -A INPUT -i $INTERNET -s $CLASS_A -j DROP
  72. # Refuse packets claiming to be from a Class B private network
  73. $IPT -A INPUT -i $INTERNET -s $CLASS_B -j DROP
  75. # Refuse packets claiming to be from a Class C private network
  76. $IPT -A INPUT -i $INTERNET -s $CLASS_C -j DROP
  78. $IPT -A INPUT -i $INTERNET -s 0.0.0.0/8 -j DROP
  79. $IPT -A INPUT -i $INTERNET -s 169.254.0.0/16 -j DROP
  80. $IPT -A INPUT -i $INTERNET -s 192.0.2.0/24 -j DROP
  81. ###################################################################
  82. #setting access rules
  84. #也可以对出站的诅求做一些严格的控制
  85. #时钟同步
  86. #$IPT -A OUTPUT -d 192.43.244.18 -j ACCEPT
  87. #允许ping出
  88. #$IPT -A OUTPUT -p icmp -j ACCEPT
  89. #$IPT -A OUTPUT -o $INTERNET -p udp --dport 53 -j ACCEPT
  90. #$IPT -A OUTPUT -o $INTERNET -p tcp --dport 80 -j ACCEPT
  91. #$IPT -A INPUT -i $INTERNET -p tcp -m mac --mac-source 00:02:3F:EB:E2:01 --dport 22 -j ACCEPT
  92. $IPT -A INPUT -i $INTERNET -p tcp -s 192.168.9.201 --dport 65535 -j ACCEPT
  93. $IPT -A INPUT -i $INTERNET -p tcp --dport 443 -j ACCEPT
  94. $IPT -A INPUT -i $INTERNET -p tcp --dport 80 -j ACCEPT
  95. #限制连往本机的web服务,单个IP的并发连接不超过30个,超过的被拒绝
  96. #$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -m connlimit --connlimit-above 30 -j REJECT
  97. #限制连往本机的web服务,单个IP在60秒内只允许最多新建30个连接,超过的被拒绝
  98. #$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT
  99. #$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
  100. #限制连往本机的web服务,1个C段的IP的并发连接不超过100个,超过的被拒绝
  101. #$IPT -A INPUT -i $INTERNET -p tcp --dport 80 -m iplimit --iplimit-above 100 --iplimit-mask 24 -j REJECT
  102. #$IPT -A INPUT -i $INTERNET -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
  103. #$IPT -A INPUT -i $INTERNET -p udp --dport 123 -j ACCEPT

阅读(1136) | 评论(0) | 转发(0) |
0

上一篇:shell中数组建立及使用技巧

下一篇:一个日志分析的脚本,查找可疑的IP并拒绝掉【转贴】

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6