旧公司的iptables脚本-snowtty-ChinaUnix博客

冰雪塵埃snowtty.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

snowtty

博客访问： 5273557
博文数量： 1144
博客积分： 11974
博客等级：上将
技术积分： 12312
用户组：普通用户
注册时间： 2005-04-13 20:06

文章分类

全部博文（1144）

技术--Oracle&MyS（112）
编程--python编程（21）
编程--perl程序（183）
技术--防火墙类（9）
技术--samba类（7）
技术--apache类（18）
技术--netfilter（7）
工作--工作??（62）
生活--情感生活（116）
学习--英语学习（24）
学习--早先日志（46）
工作--周报总结（36）
学习--学习笔记（45）
技术--Rsync维护（11）
技术--OPENldap（1）
技术--squid维护（9）
技术--DNS 维护（17）
技术--FTP 维护（7）
技术--qmail维护（128）
技术--网络技术（26）
技术--linux 类（183）

openvpn（0）

nagios（10）
编程--awk&sed（11）
编程--shell编程（50）
未分配的博文（15）

文章存档

2017年（2）

2016年（14）

2015年（10）

2014年（28）

2013年（23）

2012年（29）

2011年（53）

2010年（86）

2009年（83）

2008年（43）

2007年（153）

2006年（575）

2005年（45）

我的朋友

相关博文

旧公司的iptables脚本

分类： LINUX

2006-11-05 11:00:26

旧公司的iptables脚本，备份 #!/bin/sh
#
/sbin/modprobe ip_nat_pptp
/sbin/modprobe ip_conntrack_pptp
/sbin/modprobe ppp_mppe
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -F
###################
/sbin/iptables -t nat -A PREROUTING -s ! 192.168.0.3 -p tcp --dport 8000 -j DNAT --to 192.168.0.3:1433
#/sbin/iptables -t nat -A PREROUTING -s ! 192.168.0.3 -p tcp --dport 1433 -j DNAT --to 192.168.0.3:1433
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE
###########################INPUT键###################################
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
###############################
/sbin/iptables -N syn-flood
/sbin/iptables -A INPUT -p tcp --syn -j syn-flood
/sbin/iptables -I syn-flood -p tcp -m limit --limit 10/s --limit-burst 6 -j RETURN
/sbin/iptables -A syn-flood -j REJECT
#防止SYN攻击轻量
#####################################
/sbin/iptables -P INPUT DROP
###################################
/sbin/iptables -A INPUT -s 192.168.0.50 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.50 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm --string "qq" -j REJECT
/sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm --string "QQ" -j REJECT
/sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm --string "telcent" -j REJECT
/sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm --string "TENCENT" -j REJECT
####################
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m multiport --dports 110,80,25,22,21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.2.0/24 --dport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.2.0/24 --dport 21 -j ACCEPT
#允许内网samba,smtp,pop3,连接
/sbin/iptables -A INPUT -i eth2 -p udp -m multiport --dports 53 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.2.0/24 -p udp --dport 53 -j ACCEPT
#允许dns连接
/sbin/iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
/sbin/iptables -A INPUT -p gre -j ACCEPT
#允许外网vpn连接
###################################
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 5/s -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j DROP
/sbin/iptables -A INPUT -p icmp -j ACCEPT
#禁止icmp攻击
#######################FORWARD链###########################
/sbin/iptables -P FORWARD DROP
######################################################################
/sbin/iptables -A FORWARD -m string --algo bm --string "TENCENT" -j REJECT
/sbin/iptables -A FORWARD -m string --algo bm --string "tencent" -j REJECT
/sbin/iptables -A FORWARD -m string --algo bm --string "qq.com" -j REJECT
/sbin/iptables -A FORWARD -m string --algo bm --string "sex.com" -j REJECT
/sbin/iptables -A FORWARD -m string --algo bm --string "色情电影" -j REJECT
/sbin/iptables -A FORWARD -m string --algo bm --string "激情图片" -j REJECT
/sbin/iptables -A FORWARD -m string --algo bm --string "成人电影" -j REJECT
/sbin/iptables -A FORWARD -m string --algo bm --string "电影" -j REJECT
###############################################################
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#######################################
/sbin/iptables -A FORWARD -s 192.168.2.20 -j ACCEPT
###############################
/sbin/iptables -A FORWARD -s 192.168.2.21 -j ACCEPT
#############################
/sbin/iptables -A FORWARD -s 192.168.2.22 -j ACCEPT
#######################
/sbin/iptables -I FORWARD -s 192.168.0.50 -j ACCEPT
/sbin/iptables -I FORWARD -d 192.168.0.50 -j ACCEPT
####################
/sbin/iptables -A FORWARD -s 192.168.0.4 -m mac --mac-source 00:11:6B:24:82:A1 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.4 -m mac --mac-source 00:11:6B:24:82:A1 -j ACCEPT
#无线路由器
/sbin/iptables -A FORWARD -s 192.168.0.3 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.3 -j ACCEPT
#文件服务器
/sbin/iptables -A FORWARD -s 192.168.0.5 -m mac --mac-source 00:13:72:E2:C4:42 -j ACCEPT
#阿星
/sbin/iptables -A FORWARD -s 192.168.0.6 -m mac --mac-source 00:13:72:E2:C4:70 -j ACCEPT
#谷山
/sbin/iptables -A FORWARD -s 192.168.0.7 -m mac --mac-source 00:E0:B8:9A:4C:65 -j ACCEPT
#武井
###############################
/sbin/iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
/sbin/iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
/sbin/iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#########BT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m time --timestart 12:30 --timestop 13:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j ACCEPT
#####################
/sbin/iptables -A FORWARD -p udp -m multiport --ports 4000,8000 -j DROP
/sbin/iptables -A FORWARD -p tcp -m multiport --ports 4000,8000 -j DROP
/sbin/iptables -A FORWARD -d tcpconn.tencent.com -j DROP
/sbin/iptables -A FORWARD -d tcpconn2.tencent.com -j DROP
/sbin/iptables -A FORWARD -d tcpconn3.tencent.com -j DROP
/sbin/iptables -A FORWARD -d tcpconn4.tencent.com -j DROP
/sbin/iptables -A FORWARD -d http.tencent.com -j DROP
/sbin/iptables -A FORWARD -d http2.tencent.com -j DROP
/sbin/iptables -A FORWARD -d 61.144.238.145 -j DROP
/sbin/iptables -A FORWARD -d 61.144.238.146 -j DROP
/sbin/iptables -A FORWARD -d 61.144.238.156 -j DROP
/sbin/iptables -A FORWARD -d 61.144.238.150 -j DROP
/sbin/iptables -A FORWARD -d 202.104.129.251 -j DROP
/sbin/iptables -A FORWARD -d 202.104.129.254 -j DROP
/sbin/iptables -A FORWARD -d 202.104.129.252 -j DROP
/sbin/iptables -A FORWARD -d 202.104.129.253 -j DROP
/sbin/iptables -A FORWARD -d 61.141.194.203 -j DROP
/sbin/iptables -A FORWARD -d 202.96.170.166 -j DROP
/sbin/iptables -A FORWARD -d 218.18.95.221 -j DROP
/sbin/iptables -A FORWARD -d 219.133.45.15 -j DROP
/sbin/iptables -A FORWARD -d 61.141.194.200 -j DROP
/sbin/iptables -A FORWARD -d 61.141.194.224 -j DROP
/sbin/iptables -A FORWARD -d 202.96.170.164 -j DROP
/sbin/iptables -A FORWARD -d 202.96.170.163 -j DROP
/sbin/iptables -A FORWARD -d 219.133.40.216 -j DROP
/sbin/iptables -A FORWARD -d 218.18.95.209 -j DROP
/sbin/iptables -A FORWARD -d 61.141.194.227 -j DROP
/sbin/iptables -A FORWARD -d 218.18.95.171 -j DROP
/sbin/iptables -A FORWARD -d 218.18.95.221 -j DROP
/sbin/iptables -A FORWARD -d 219.133.38.31 -j DROP
/sbin/iptables -A FORWARD -d 218.18.95.165 -j DROP
/sbin/iptables -A FORWARD -d 202.96.170.188 -j DROP
/sbin/iptables -A FORWARD -d 202.104.129.246 -j DROP
/sbin/iptables -A FORWARD -d 61.144.238.137 -j DROP
/sbin/iptables -A FORWARD -d 202.96.170.175 -j DROP
/sbin/iptables -A FORWARD -d 202.103.190.61 -j DROP
/sbin/iptables -A FORWARD -d 202.103.149.40 -j DROP
/sbin/iptables -A FORWARD -d 218.18.95.140 -j DROP
/sbin/iptables -A FORWARD -d 218.18.95.153 -j DROP
/sbin/iptables -A FORWARD -d 61.135.131.240 -j DROP
/sbin/iptables -A FORWARD -d 216.239.33.99 -j DROP
/sbin/iptables -A FORWARD -d 218.17.209.23 -j DROP
/sbin/iptables -A FORWARD -d 202.104.129.251 -j DROP
/sbin/iptables -A FORWARD -d 219.133.49.74 -j DROP
/sbin/iptables -A FORWARD -d 219.133.49.8 -j DROP
/sbin/iptables -A FORWARD -d 219.133.49.7 -j DROP
/sbin/iptables -A FORWARD -d 202.96.170.164 -j DROP
/sbin/iptables -A FORWARD -d 202.96.170.165 -j DROP
/sbin/iptables -A FORWARD -d 202.96.170.175 -j DROP
/sbin/iptables -A FORWARD -d 202.96.170.188 -j DROP
/sbin/iptables -A FORWARD -d 61.135.131.240 -j DROP
/sbin/iptables -A FORWARD -d 61.141.194.203 -j DROP
/sbin/iptables -A FORWARD -d 61.141.194.231 -j DROP
/sbin/iptables -A FORWARD -d 61.141.194.224 -j DROP
/sbin/iptables -A FORWARD -d 218.18.95.165 -j DROP
/sbin/iptables -A FORWARD -d 219.133.40.15 -j DROP
/sbin/iptables -A FORWARD -d 61.144.238.137 -j DROP
/sbin/iptables -A FORWARD -d 61.144.238.145 -j DROP
/sbin/iptables -A FORWARD -d 61.144.238.146 -j DROP
/sbin/iptables -A FORWARD -d 61.144.238.150 -j DROP
/sbin/iptables -A FORWARD -d 61.144.238.151 -j DROP
/sbin/iptables -A FORWARD -d 202.104.129.254 -j DROP
/sbin/iptables -A FORWARD -d 202.104.129.252 -j DROP
/sbin/iptables -A FORWARD -d 202.104.129.253 -j DROP
/sbin/iptables -A FORWARD -d 202.104.129.251 -j DROP
/sbin/iptables -A FORWARD -d 202.104.129.242 -j DROP
/sbin/iptables -A FORWARD -d 202.104.129.246 -j DROP
/sbin/iptables -A FORWARD -d 202.103.190.61 -j DROP
/sbin/iptables -A FORWARD -d 218.18.95.165 -j DROP
/sbin/iptables -A FORWARD -d 218.18.95.153 -j DROP
/sbin/iptables -A FORWARD -d 218.17.217.103 -j DROP
/sbin/iptables -A FORWARD -d 218.17.209.42 -j DROP
/sbin/iptables -A FORWARD -d 219.133.49.0/255.255.255.0 -j DROP
/sbin/iptables -A FORWARD -d 58.60.14.0/255.255.255.0 -j DROP
/sbin/iptables -A FORWARD -d 58.60.15.0/255.255.255.0 -j DROP
/sbin/iptables -A FORWARD -d 219.133.48.106 -j DROP
/sbin/iptables -A FORWARD -d 219.133.50.46 -j DROP
##########################################
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -m time --timestart 7:50 --timestop 8:16 --days Mon,Tue,Wed,Thu,Fri,Sat -j ACCEPT
#########7:50--8:16
##########################################
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
########DNS
/sbin/iptables -A FORWARD -s 192.168.0.45 -m mac --mac-source 00:03:47:77:56:E3 -p tcp --dport 80 -j ACCEPT
###杨绍良
/sbin/iptables -A FORWARD -s 192.168.0.46 -m mac --mac-source 00:11:D8:94:BE:D9 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.46 -m mac --mac-source 00:11:D8:94:BE:D9 -p tcp --dport 25 -j ACCEPT
######陈爱甜
/sbin/iptables -A FORWARD -s 192.168.0.44 -m mac --mac-source 00:13:72:E9:63:BD -p tcp --dport 80 -j ACCEPT
#####刘世平
/sbin/iptables -A FORWARD -s 192.168.0.219 -m mac --mac-source 00:00:21:CF:BF:6E -p tcp --dport 80 -j ACCEPT
###########
/sbin/iptables -A FORWARD -s 192.168.0.48 -j ACCEPT
#########城口
/sbin/iptables -A FORWARD -s 192.168.0.49 -j ACCEPT
#####根本#####
/sbin/iptables -A FORWARD -s 192.168.0.242 -m mac --mac-source 00:13:72:E9:63:1C -p tcp --dport 80 -j ACCEPT
#?#?
/sbin/iptables -A FORWARD -j DROP
#######################################################################
sysctl -w net.ipv4.ip_forward=1 &>/dev/null
#打开转发
#######################################################################
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null
#打开 syncookie （轻量级预防 DOS 攻击）
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null
#设置默认 TCP 连接痴呆时长为 3800 秒（此选项可以大大降低连接数）
sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/null
#设置支持最大连接树为 30W（这个根据你的内存和 /sbin/iptables 版本来，每个 connection 需要 300 多个字节）
#########AP#
############################完#########################################
###########################枫影-乡下猫#################################
/sbin/iptables -t nat -A PREROUTING -p tcp -m multiport --dport 4242,4661,4662,4665,4675,4672,6882,6881,5617,5627,5611,5621,7119 -j DNAT --to 192.168.0.50
/sbin/iptables -t nat -A PREROUTING -p udp -m multiport --dport 4242,4661,4662,4672,4665,4675,6882,6881,5617,5627,5611,5621,7119 -j DNAT --to 192.168.0.50
/sbin/iptables -I FORWARD -p tcp -m multiport --dport 4242,4661,4662,4665,4675,4672,6882,6881,5617,5627,5611,5621,7119 -j ACCEPT
/sbin/iptables -I FORWARD -p udp -m multiport --dport 4242,4661,4662,4672,4665,4675,6882,6881,5617,5627,5611,5621,7119 -j ACCEPT

阅读(1462) | 评论(0) | 转发(0) |

上一篇：seq的用法

下一篇：squid mrtg 安装

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6