Chinaunix首页 | 论坛 | 博客

Tonny

首页 |  博文目录 |  关于我

tycheng8772

  • 博客访问: 65694
  • 博文数量: 33
  • 博客积分: 2510
  • 博客等级: 少校
  • 技术积分: 440
  • 用 户 组: 普通用户
  • 注册时间: 2008-10-17 19:10
文章分类

全部博文(33)

文章存档

2011年(4)

2009年(13)

2008年(16)

我的朋友
最近访客
推荐博文
相关博文
iptables1.sh的样例

分类: LINUX

2011-01-14 18:42:09

#!/bin/sh
IPTABLES=/sbin/iptables
MODPROBE=/sbin/modprobe
INT_NET=10.9.160.0/24
### flush existing rules and set chain policy setting to DROP
echo "[+] Flushing existing iptables rules..."
iptables -F
iptables -X
iptables -F -t nat
# default policy
iptables -P INPUT   DROP
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP
### load connection-tracking modules
$MODPROBE ip_conntrack
$MODPROBE iptable_nat
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_nat_ftp

## from 10.9.160.86  to 10.9.160.108's ssh server
iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT   -p tcp -s 10.9.160.86  --dport 22   -j ACCEPT
iptables -A OUTPUT  -p tcp -d 10.9.160.86  --sport 22   -j ACCEPT
 
###  INPUT chain ###
echo "[+] Setting up INPUT chain..."
###  state tracking rules
iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID"  --log-ip-options  --log-tcp-options --log-tcp-sequence
iptables -A INPUT -m state --state INVALID -j DROP
#iptables -A INPUT -m state --state --ESTABLISHED,RELATED -j ACCEPT
### anti-spoofing rules
iptables -A INPUT -i eth0 -s ! $INT_NET -j LOG --log-prefix "SPOOFED PKT"
iptables -A INPUT -i eth0 -s ! $INT_NET -j DROP
### icmp rules
iptables -A INPUT  -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
### default INPUT LOG rule
iptables -A INPUT -i ! lo -j LOG --log-prefix "DROP" --log-ip-options --log-tcp-options
###############################################################################
### OUTPUT chain ###
echo "[+] Setting up OUTPUT chain... "
### state tracking rules:
iptables -A OUTPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options  --log-tcp-options
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
### ACCEPT rules for allowing connections out
iptables -A OUTPUT -p tcp --dport 21 --syn -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 --syn -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80  -j ACCEPT
iptables -A OUTPUT -p tcp --dport 4321 --syn -j ACCEPT
### default OUTPUT LOG rule
iptables -A OUTPUT -o ! lo -j LOG --log-prefix "DROP" --log-ip-options  --log-tcp-options

##up FTP
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
 
阅读(350) | 评论(1) | 转发(0) |
0

上一篇:内核编译

下一篇:博客已升级,请注意变更地址

给主人留下些什么吧!~~

chinaunix网友2011-03-09 12:09:08

很好的, 收藏了 推荐一个博客,提供很多免费软件编程电子书下载: http://free-ebooks.appspot.com

回复 | 举报
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6