Chinaunix首页 | 论坛 | 博客

飞阳技术

首页 |  博文目录 |  关于我

loesprite

  • 博客访问: 385894
  • 博文数量: 28
  • 博客积分: 3055
  • 博客等级: 中校
  • 技术积分: 310
  • 用 户 组: 普通用户
  • 注册时间: 2006-12-15 14:04
文章分类

全部博文(28)

文章存档

2009年(2)

2008年(2)

2007年(21)

2006年(3)

我的朋友
最近访客
推荐博文
相关博文
iptables权限控制

分类: LINUX

2006-12-15 15:07:35

以下是一个脚本,用来做基本的权限控制。包括的内容有:禁止被访问的IP,特权用户的设置,开启平常要用的端口,封锁某个人的MAC,NAT转发等。

注:此脚本是以MAC地址为管理基础的,如果客户端更改了MAC地址,那么所做的设置就无效了。

#!/bin/sh
/etc/init.d/iptables restart
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F

############################## Net Admin ################################
#网管员的MAC地址,没有任何限制
/sbin/iptables -t nat -A PREROUTING -m mac --mac-source $MAC -j ACCEPT
/sbin/iptables -A INPUT -m mac --mac-source  $MAC  -j ACCEPT
/sbin/iptables -A FORWARD -m mac --mac-source $MAC  -j ACCEPT

############################## Deny URL #################################
#要禁止访问的地址,下面两个分别是veryCD和互联星空的IP
/sbin/iptables -t nat -A PREROUTING --dst 218.30.64.121 -j DROP
/sbin/iptables -t nat -A PREROUTING --dst 58.218.179.162 -j DROP

##############################  Manager #################################
#老板,特权用户
/sbin/iptables -t nat -A PREROUTING -m mac --mac-source $MAC  -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -m mac --mac-source $MAC  -j ACCEPT
/sbin/iptables -A FORWARD -m mac --mac-source $MAC -j ACCEPT

############################ open port ################################
#允许访问的端口

#没有Squid做代理的话,下面一句需要启用。
#/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp -m tcp --dport 1863 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp -m tcp --dport 8008 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp -m tcp --dport 3000 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT

##############################attack######################################
#内网中攻击或中毒的机器,先封掉他,不能上网,他会来找你的。
#/sbin/iptables -A INPUT -m mac --mac-source $MAC -j DROP
#/sbin/iptables -A FORWARD -m mac --mac-source $MAC -j DROP

################################ NAT #####################################
#做个转发
/sbin/iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8989 -j DNAT --to-destination 10.10.0.X:80
/sbin/iptables -t nat -A POSTROUTING -s 10.10.0.0/22 -d 10.10.0.X -p tcp -m tcp --dport 8989 -j SNAT --to-source 10.10.0.1


############################### Internet ################################
#把其他包DROP掉
/sbin/iptables -A INPUT -s 10.10.0.0/22 -j DROP

#将内网的http请求转给squid
/sbin/iptables -t nat -A PREROUTING -s 10.10.0.0/22 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

#完成转发
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 10.10.0.0/22 -o ppp0 -j MASQUERADE




阅读(2681) | 评论(0) | 转发(0) |
0

上一篇:Squid_2.6_stable 安装和配置

下一篇:rhel4使用apt升级方法

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6