Linux 防火墙 iptables-GY12345691-ChinaUnix博客

Guten&nbsp;Tag!ggyy.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

GY12345691

博客访问： 1297731
博文数量： 632
博客积分： 2778
博客等级：大尉
技术积分： 3387
用户组：普通用户
注册时间： 2012-05-31 09:09

个人简介

123

文章分类

全部博文（632）

R&S（0）
Linux（1）

Linux运维（0）
正则表达式（9）
H3C（1）
Back Track（4）
uinx（4）
selinux&iptables（18）
测试软件（16）

VMware（12）

手机（3）
Car（4）
linux 驱动（7）
CISCO（71）

zebra（1）
linux 命令（38）

linux 解压缩（4）
2012 Embedded（57）

boa伺服器（6）
say（46）
linux 编程（64）

Makefile（4）

shell（2）

perl（12）

scapy（9）

python（12）
linux文章（21）
linux教程（82）

wget（2）

centos安装软件（7）

linux 播放器（14）
linux服务器（78）

RFC（0）

DHCP（14）

ASP（1）

Cacti（10）

Nginx（2）

Nagios（1）

sendmail（4）

PHP（13）
未分配的博文（111）

文章存档

2014年（36）

2013年（33）

2012年（563）

我的朋友

相关博文

Linux 防火墙 iptables

分类： LINUX

2012-12-19 08:05:40

实训三防火墙

第6章组建Linux局域网与网络互连——防火墙的设置.doc

点击(此处)折叠或打开

#!/bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#网卡：上外、下内
#上外 218.29.47.69 255.255.255.224 218.29.47.65
#下内 192.168.1.1 255.255.255.0 192.168.1.1
#INET_IF="ppp0"
INET_IF="eth0"
LAN_IF="eth1"
INET_IP="2.2.4.6"
LAN_IP="192.168.1.1"
LAN_IP_RANGE="192.168.1.0/24"
LAN_WWW="192.168.1.22"
IPT="/sbin/iptables"
TC="/sbin/tc"
MODPROBE="/sbin/modprobe"
$MODPROBE ip_tables
$MODPROBE iptable_nat
$MODPROBE ip_nat_ftp
$MODPROBE ip_nat_irc
$MODPROBE ipt_mark
$MODPROBE ip_conntrack
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_conntrack_irc
$MODPROBE ipt_MASQUERADE
for TABLE in filter nat mangle ; do
$IPT -t $TABLE -F
$IPT -t $TABLE -X
$IPT -t $TABLE -Z
done
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
# 拒绝INTERNET客户访问
#$IPT -A INPUT -i $INET_IF -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#$IPT -A INPUT -i $INET_IF -p tcp -s 123.5.0.0/16 --dport 22 -j ACCEPT
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i $INET_IF -m state --state NEW,INVALID -j DROP
for DNS in $(grep ^n /etc/resolv.conf|awk '{print $2}'); do
$IPT -A INPUT -p tcp -s $DNS --sport domain -j ACCEPT
$IPT -A INPUT -p udp -s $DNS --sport domain -j ACCEPT
done
# anti bad scaning
$IPT -A INPUT -i $INET_IF -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPT -A INPUT -i $INET_IF -p tcp --tcp-flags ALL ALL -j DROP
$IPT -A INPUT -i $INET_IF -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$IPT -A INPUT -i $INET_IF -p tcp --tcp-flags ALL NONE -j DROP
$IPT -A INPUT -i $INET_IF -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A INPUT -i $INET_IF -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -t nat -A PREROUTING -d $INET_IP -p tcp --dport 8008 -j DNAT --to-destination $LAN_WWW:8008
#$IPT -t nat -A PREROUTING -d $INET_IP -p tcp --dport 22 -j DNAT --to-destination $LAN_WWW:22
if [ $INET_IF = "ppp0" ] ; then
$IPT -t nat -A POSTROUTING -o $INET_IF -s $LAN_IP_RANGE -j MASQUERADE
else
$IPT -t nat -A POSTROUTING -o $INET_IF -s $LAN_IP_RANGE -j SNAT --to-source $INET_IP
fi
#MAC、IP地址绑定
$IPT -A FORWARD -s 192.168.1.28 -m mac --mac-source 40:16:9F:EB:D7:D2 -j ACCEPT
$IPT -A FORWARD -d 192.168.1.28 -j ACCEPT

阅读(944) | 评论(0) | 转发(0) |

上一篇：别学黑客

下一篇：在redhat上安装net-snmp

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6