Chinaunix首页 | 论坛 | 博客
  • 博客访问: 729291
  • 博文数量: 245
  • 博客积分: 10037
  • 博客等级: 上将
  • 技术积分: 2512
  • 用 户 组: 普通用户
  • 注册时间: 2007-01-16 17:16
文章分类

全部博文(245)

文章存档

2008年(7)

2007年(238)

我的朋友

分类: LINUX

2007-04-22 23:03:27

作者:  发表于:2006-04-14 01:59:40
【】【】【】【】

我想下面的脚本很容易看懂!当然 如果没看懂提出来,我很乐意解答!当然,也很希 望 你们可以指出错误 !很感谢大家的指导 ,特别是platinum!

环境:redhat9 加载了string time等模块,加载方法参照 

etho 接外网──ppp0
eth1 接内网──192.168.0.0/24

[color=blue]
#!/bin/sh
#
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
###########################INPUT键###################################
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 110,80,25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 139 -j ACCEPT
#允许内网samba,smtp,pop3,连接
iptables -A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT
#允许dns连接
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
#允许外网vpn连接
iptables -A INPUT -s 192.186.0.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃
iptables -A INPUT -s 192.186.0.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃
iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
iptables -A INPUT -p icmp -j DROP
#禁止icmp通信-ping 不通
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
#内网转发
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止SYN攻击 轻量
#######################FORWARD链###########################
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport --dports 80,110,21,25,1723 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p gre -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT
#允许 vpn客户走vpn网络连接外网
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的8:00-12:30禁止qq通信
iptables -I FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的8:00-12:30禁止qq通信
iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
iptables -I FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的13:30-20:30禁止QQ通信
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的8:00-12:30禁止qq网页
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 13:00 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的13:30-20:30禁止QQ网页
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "ay2000.net" -j DROP
iptables -I FORWARD -d 192.168.0.0/24 -m string --string "宽频影院" -j DROP
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "色情" -j DROP
iptables -I FORWARD -p tcp --sport 80 -m string --string "广告" -j DROP
#禁止ay2000.net,宽频影院,色情,广告网页连接 !但中文 不是很理想
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#禁止BT连接
iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 24 -j DROP
#只允许每组ip同时15个80端口转发
#######################################################################
sysctl -w net.ipv4.ip_forward=1 &>;/dev/null
#打开转发
#######################################################################
sysctl -w net.ipv4.tcp_syncookies=1 &>;/dev/null
#打开 syncookie (轻量级预防 DOS 攻击)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>;/dev/null
#设置默认 TCP 连接痴呆时长为 3800 秒(此选项可以大大降低连接数)
sysctl -w net.ipv4.ip_conntrack_max=300000 &>;/dev/null
#设置支持最大连接树为 30W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节)
#######################################################################
iptables -I INPUT -s 192.168.0.50 -j ACCEPT
iptables -I FORWARD -s 192.168.0.50 -j ACCEPT
#192.168.0.50是我的机子,全部放行!
############################完#########################################
###########################枫影-乡下猫#################################
[/color]



  回复于:2005-08-30 11:31:54

不错,网友可以拿下去自己去实验一下


  回复于:2005-08-30 11:46:12

好东西````


  回复于:2005-08-30 11:55:15

[color=blue]iptables -I INPUT -s 192.168.0.50 -j ACCEPT
iptables -I FORWARD -s 192.168.0.50 -j ACCEPT
#192.168.0.50是我的机子,全部放行! [/color]


鄙视你! :D  :D  :D  :D  :D  :D


  回复于:2005-08-30 12:03:31

引用:原帖由 "jiecho" 发表:



鄙视你! :D  :D  :D  :D  :D  :D



 :D  :D


  回复于:2005-08-30 12:04:12

点评一下

先说几个创意很好的地方

1、iptables -A FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP 

这种思路不错,运用灵活,且多个模块一起使用,用 -p udp --dport 53 做数据分敛,可以降低由于 string 模块造成的效率低下问题,可见是认真考虑过的

2、文中用到了 time、ipp2p、string、connlimit 等模块,大大扩大了 iptables 的功能,不错!

3、利用了 sysctl 实现了一些修改 TCP/IP 的内核参数,实现一些自己的目的,不错,但要注意内存是否够大


但也有一些不足,说一下

1、insmod ipt_MASQUERADE 

如果用 insmod 加载模块,必须制定模块路径以及模块全名,否则要用 modprobe


2、modprobe ip_conntrack_ftp

这个是在本机上开 ftp 服务要用到的,如果做 nat 还应该加载 ip_nat_ftp


3、iptables -A INPUT -i eth1 -p tcp -m multiport --dports 

443,139,80,21,53,110,25 -j ACCEPT
DNS 服务是 UDP/53



4、iptables -F FORWARD

这个其实没必要了,因为在 script 一开始的时候就已经有了 iptables -F,意思是清空 filter 表中所有链的规则

5、filter 表中 FORWARD 链的默认规则问题
我没有看到 FORWARD 表中有设置默认规则的迹象,也许是你一时倏忽了

6、关于一些限制的阀值问题
有的值我感觉过小,有可能会造成网络不通的现象,阀值其实是个双刃剑,这个需要多测试才知道


说一下需要改进的地方
文中有大量这样的代码

iptables -A FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP 

其实完全可以用 -N 建立一个新链,把所有规定时间内的 UDP/53 都转过去,然后统一处理,这样相对效率会高一些



总的来说还是很不错的,在很短的时间内能把 iptables 学习到这种程度可见是下了一番苦心
继续努力哦 :D


  回复于:2005-08-30 12:07:17

引用:原帖由 "platinum" 发表:
这个其实没必要了,因为在 script 一开始的时候就已经有了 iptables -F,意思是清空 filter 表中所有链的规则

5、filter 表中 FORWARD 链的默认规则问题
我没有看到 FORWARD 表中有设置默认规则的迹象,也许是你..........



谢谢platinum的指导!我继续努力!
上面的提到问题,请看这个贴
我出现了这个问题!所以我才加载!当然,请你指教


  回复于:2005-08-30 12:46:27

长见识来了! :arrow:  :arrow:


  回复于:2005-08-30 13:44:44

已经改正了白金兄提出的几个错误 ! :mrgreen:


  回复于:2005-08-30 14:18:58


这样做可不好。。。。


  回复于:2005-08-30 14:38:17

学习,


  回复于:2005-08-30 15:14:10

引用:原帖由 "platinum" 发表:

这样做可不好。。。。



一开始发错地方!以为你是那个版 块的!后来发现你不是那个版的版主,可是我我不能删除那个贴!只能改!所以就。。。。 :em10:

我给那个版主发短信了,麻烦他删除 那个贴!


  回复于:2005-08-30 16:54:54

学习ing


  回复于:2005-08-30 17:06:26

朋友的贴子,顶起来,好贴。


  回复于:2005-08-30 18:33:53

引用:原帖由 "qufo"]朋友的贴子,顶起来,好贴。
 发表:



嘿嘿!飞碟!问你个问题,你的bsd用这个脚本跑起来会不会很吃力?


  回复于:2005-08-30 19:33:05

引用:原帖由 "枫影谁用了" 发表:


嘿嘿!飞碟!问你个问题,你的bsd用这个脚本跑起来会不会很吃力?


BSD 不能运行这个 script,BSD 没有 iptables 命令,用的是 ipfw 等


  回复于:2005-08-31 03:06:14

好贴。。


  回复于:2005-08-31 07:58:24

引用:原帖由 "platinum" 发表:

BSD 不能运行这个 script,BSD 没有 iptables 命令,用的是 ipfw 等

 :em10: 
我真笨 :em02:


  回复于:2005-08-31 08:46:18

好,疯猫,我也帮你顶!
我也要努力学习,呵呵。。


  回复于:2005-08-31 08:52:08

引用:原帖由 "thatday" 发表:
好,疯猫,我也帮你顶!
我也要努力学习,呵呵。。



你小子强啊!到现在才发了两个贴?怎么不把处女贴发到这里来!!! :em10:


  回复于:2005-09-05 16:23:39

请问,您的iptables真的吧qq给封闭了么???


  回复于:2005-09-05 17:10:18

引用:原帖由 "yzhkp"]请问,您的iptables真的吧qq给封闭了么???
 发表:




是的!(但不是很全面)很多封的方法!可以抓包!QQ


  回复于:2005-09-05 17:15:31

引用:原帖由 "枫影谁用了" 发表:



是的!(但不是很全面)很多封的方法!可以抓包!QQ


只能封一部分,很片面很少的一部分


  回复于:2005-09-05 17:26:56

引用:原帖由 "platinum" 发表:

只能封一部分,很片面很少的一部分




嗯!我这边收集了一些qq服务器的ip!起码现在公司 是上不了qq ,不过用代理还是可以上!懒得去搞! :em17:


  回复于:2005-09-05 17:49:30

引用:原帖由 "枫影谁用了" 发表:



嗯!我这边收集了一些qq服务器的ip!起码现在公司 是上不了qq ,不过用代理还是可以上!懒得去搞! :em17:


那样是不行的
1、你把服务器地址都封了,用户可以用代理
2、你把端口都封了,用户可以用 TCP/80 的代理


  回复于:2005-09-05 20:46:09

支持。。。
谢谢,收下了。


  回复于:2005-09-05 22:01:13

我有好多功能都没有,比如ipp2p, connlimit都好像不支持。
我的iptable 是1.2.8的。
不知道楼主用的是什么版本的。


  回复于:2005-09-06 10:17:39

不错,好东西,收藏


  回复于:2005-09-06 10:58:02

都是高手


  回复于:2005-09-06 11:07:11

为啥要封qq?!
这种公司管理太落后了.


  回复于:2005-09-06 15:05:20

原来都是封ip啊. 北斗quicklinux那里提供了一种方法:不知道咋地~~~



  回复于:2005-09-10 15:25:36

有个问题要问楼主。
我在web服务器上使用了connlimit限制了--connlimit-above 1
为什么在实际应用中打开网页很慢,很多图片都显示不出来。
难道不能用一个连接来打开web页面?


  回复于:2005-09-10 18:01:16

学习


  回复于:2005-09-10 20:40:40

留名。。 方便以后看


  回复于:2005-09-10 22:03:28

引用:原帖由 "wchun" 发表:
有个问题要问楼主。
我在web服务器上使用了connlimit限制了--connlimit-above 1
为什么在实际应用中打开网页很慢,很多图片都显示不出来。
难道不能用一个连接来打开web页面?



其实你自己可以用netstat测试一下,一般你用IE打开一个网页会有多少个连接出现。


  回复于:2005-09-10 22:22:03

引用:原帖由 "wchun" 发表:
有个问题要问楼主。
我在web服务器上使用了connlimit限制了--connlimit-above 1
为什么在实际应用中打开网页很慢,很多图片都显示不出来。
难道不能用一个连接来打开web页面?



你的环境怎么样?说一下,我的不会!


  回复于:2005-09-10 22:24:29

引用:原帖由 "sway2004009" 发表:
我有好多功能都没有,比如ipp2p, connlimit都好像不支持。
我的iptable 是1.2.8的。
不知道楼主用的是什么版本的。



可以的!我在r9 fc3 as3 as4都可以成功的运行!但是在2.6内核下不能打上string!
其它可以!iptables可以编译成1.3.0以上!

不知道 你具体遇到那方面的问题?


  回复于:2005-09-10 22:28:05

引用:原帖由 "platinum" 发表:

那样是不行的
1、你把服务器地址都封了,用户可以用代理
2、你把端口都封了,用户可以用 TCP/80 的代理




大大,为啥要管得这么死!你真把qq全封死了,人家就用skype,唉,[color=red][size=24]退一步海阔天空[/size][/color]


  回复于:2005-09-10 22:49:11

请问:
time、ipp2p、string、connlimit
这些模块怎么加载?


  回复于:2005-09-10 22:52:35

引用:原帖由 "attiseve" 发表:
请问:
time、ipp2p、string、connlimit
这些模块怎么加载?




请看主贴上给的连接!

还可以用CU搜索的方法查找版主platinum 
写的教程,非常棒,如果你在加载过程有问题不妨提出来!


  回复于:2005-09-10 22:54:59

引用:原帖由 "枫影谁用了"]
 发表:


有些问题不是技术能解决的。关键靠管理和引导。


  回复于:2005-09-10 23:11:35

引用:原帖由 "attiseve" 发表:

有些问题不是技术能解决的。关键靠管理和引导。



啥意思?什么管理和引导?


  回复于:2005-09-11 09:17:52

好帖子,长见识了,顺便问一下,你使用的 ip2p对常见的应用能控制么,比如说emule(edonkey),bt等,还有就是现在的bt0.59使用了dht


  回复于:2005-09-11 09:43:12

我搞不明白为什么要加载这几个模块啊
默认它们不加载吗?
另外就是这几个模块的作用是什么啊
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

谢谢


  回复于:2005-09-11 10:13:36

引用:原帖由 "txkss" 发表:
我搞不明白为什么要加载这几个模块啊
默认它们不加载吗?
另外就是这几个模块的作用是什么啊
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

谢谢




要内核支持,如果这些模块你在编译内核时选择的是M的话,就要加载,如果你编译进内核,那一般就不用加载了,直接可以用!
[color=red]ipt_MASQUERADE[/color]就是起“数据包伪装”的功能的模块。
[color=red]modprobe ip_conntrack_ftp
modprobe ip_nat_ftp[/color]
加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT

不知道 我这样解释你可不可以明白
[color=orange]关于有状态功能,重点在于后三个模块:
ip_conntrack模块能够使防火墙具有连接跟踪能力。(通过输入 "cat /proc/net/ip_conntrack" 可以查看您的机器参与的活动网络连接。)

加载这个模块后,基本上所有有状态的返回包都能识别,例:telnet,http,QQ,mail,ping,dns等。

实际上,加载了ip_conntrack模块,ftp已经能够登陆,并能使用象pwd,cd等命令,但当使用ls命令显示文件内容时,就会timeout。原因在于

显示文件列表的包防火墙无法识别,就会进入默认策略----禁止,此时就需要加载ip_conntrack_ftp模块。

ip_conntrack_ftp模块使防火墙能够识别FTP某类特殊的返回包。

如果防火墙上对所有出去的返回包作了伪装,就需要加载ip_nat_ftp模块。
ip_nat_ftp模块在出去的包作了伪装以后,必须加载,否则防火墙无法知道返回的包该转发到哪里。[/color]


  回复于:2005-09-11 11:14:04

谢谢老哥 
非常感谢
我在接着往下看你写的规则呢


  回复于:2005-09-11 19:31:14


iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP 
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP 
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP 


请问楼主,你这几句封bt的规则管用吗?我也想封掉bt~~


  回复于:2005-09-12 09:45:30

有效,效果还不错滴说~~~


  回复于:2005-09-12 15:45:37

有封DUDU 下载的吗 
我的网终架构和楼主一样
以下是我的配置
iptables -F 
iptables -X 
iptables -t nat -F 
iptables -t nat -X 
iptables -P INPUT ACCEPT 
iptables -P OUTPUT ACCEPT 
iptables -P FORWARD ACCEPT 
iptables -t nat -P PREROUTING ACCEPT 
iptables -t nat -P OUTPUT ACCEPT 
iptables -t nat -P POSTROUTING ACCEPT 
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.200
iptables -t nat -A PREROUTING  -p tcp --dport 22 -i ppp0 -j ACCEPT 
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to 192.168.0.200
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP 
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP 
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP 
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -j DROP 
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "kele8" -j DROP 
iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP
iptables -A INPUT -s 192.186.0.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
iptables -A INPUT -s 192.186.0.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
/etc/rc.d/init.d/iptables save 
/etc/rc.d/init.d/iptables start


  回复于:2005-09-12 15:46:38

随便说一样我的iptables 是1.3.3


  回复于:2005-09-16 14:28:41

这么多天没有回复 看来大家一定和我遇到一样的问题 DUDU 加速下载 不好封


  回复于:2005-09-16 14:38:29

引用:原帖由 "xhc"]这么多天没有回复 看来大家一定和我遇到一样的问题 DUDU 加速下载 不好封
 发表:



DUDU?這個沒有搞過!我現在想搞skype的!麻煩!封不住!鬱悶!


  回复于:2005-09-17 13:39:45

DuDu下载加速器,又名DuDu Dog(DDD)是由领先的P2P技术公司千橡互联开发的一款基于P2P技术的极速下载软件。对比其他下载软件,DDD具有明显的下载速度快、简单易用、高效安全等优势。另外它还提供了资源搜索与推荐,多媒体自动感知、一键下载等贴心功能。
·极速下载 领先的P2P下载技术和最优的下载算法令用户在下载过程中获得不断加速的享受,增添“内网模式检测”在局域网内下载速度更能明显飚升。 ·支持BT下载 在支持传统的HTTP/FTP/MMS/RTSP协议下载的同时,扩展支持了BT协议的下载,BT下载时速度快,占用资源少,更能保护用户硬盘不受BT下载损伤。 ·歌曲搜索与试听 准确便捷的搜歌功能,在海量MP3中搜索用户真正想要的歌曲,并同时提供歌词查阅与歌曲试听,真正做到“即搜即下,即搜即听”。 ·FLASH/流媒体自动感知 强大的Flash与流媒体感知功能,能准确感应出网页上的Flash和视频、音频文件,只要轻松一点,就能下载收藏自己喜爱的Flash和视频、音频。 ·丰富的下载资源 全新的下载联盟、下载推荐与搜索引擎,游戏、影视、软件和音乐一应俱全,免费为用户提供更快捷、更安全、更高质量的下载资源。


  回复于:2005-09-20 11:38:06

我外网连接网卡是有效IP 219。*。*。* ,用来替换你的ppp0时,是用IP地址替换,还是用 eth0 来替换?


  回复于:2005-09-20 12:28:41

引用:原帖由 "tithonus"]我外网连接网卡是有效IP 219。*。*。* ,用来替换你的ppp0时,是用IP地址替换,还是用 eth0 来替换?
 发表:




替换ppp0!用-s 219*.*.*.*


  回复于:2005-09-24 20:24:14

iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE 
#内网转发

我外网IP是有效IP,想替换 ppp0 时,是换成
iptables -t nat -A POSTROUTING -o -s 219.137.*.*  -s 192.168.0.0/24 -j MASQUERADE 

还是
iptables -t nat -A POSTROUTING -s 219.137.*.*  -s 192.168.0.0/24 -j MASQUERADE 

还或者是
iptables -t nat -A POSTROUTING -o 219.137.*.*  -s 192.168.0.0/24 -j MASQUERADE 

究竟我该用哪种 楼主


  回复于:2005-09-26 11:03:16

引用:原帖由 "tithonus" 发表:
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE 
#内网转发

我外网IP是有效IP,想替换 ppp0 时,是换成
iptables -t nat -A POSTROUTING -o -s 219.137.*.*  -s 192.168.0.0/24 -j M..........




如果你是动态ip,你最好用设备!用-o 设备名!如果你是静态的,好像用SNAT更好!
iptables -t nat -A POSTROUTING -s 219.137.*.*  -s 192.168.0.0/24 -j MASQUERADE


  回复于:2005-09-26 11:40:05

非常实用,收下了,这句不能理解.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


  回复于:2005-09-26 15:06:51

兄弟,我都找了快两个月了,第一次遇到你这么好心的,真详细.谢谢


  回复于:2005-09-26 15:39:04

換作是我, 給我兩個月時間, 我已將 tcp/ip 的基礎書看一遍, iptables 的 HOWTO 跟指南看一遍了....


  回复于:2005-09-27 17:09:19

引用:iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP 
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP 
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP



我想通过时间限制 BT 下载 在周一至周五 8:30-17:30 期间禁止BT下载



引用:iptables -A FORWARD -m ipp2p --edk --kazaa --bit -m time --timestart 8:15 --timestop 17:30 --days Mon,Tue,Wed,Thu,Fri -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -m time --timestart 8:15 --timestop 17:30 --days Mon,Tue,Wed,Thu,Fri -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -m time --timestart 8:15 --timestop 17:30 --days Mon,Tue,Wed,Thu,Fri -j DROP



这样对不?

还有 引用:sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>;/dev/null 
#设置默认 TCP 连接痴呆时长为 3800 秒(此选项可以大大降低连接数)


这个文件没找到。。


  回复于:2005-09-28 21:14:12

的确好文,
看了后我也 加载了time,string,connlimit, 发现我的iptables-1.2.7a不支持,升级到 1.3.1版才行.


  回复于:2005-09-29 11:30:47

发现 connlimit 不能过滤UDP包.
想限制UDP包的转速率,咋办?


  回复于:2005-09-29 11:38:01

引用:原帖由 "abc3w" 发表:
发现 connlimit 不能过滤UDP包.
想限制UDP包的转速率,咋办?


udp 是无连接协议,你应该去补一下网络基础
你的需求可以通过 -m limit 实现


  回复于:2006-04-14 01:59:40

1、UDP 8000端口类13个:速度最快,服务器最多。 
QQ上线会向这11个服务器发送UDP数据包,选择回复速度最快的一个作为连接服务器。 
这6个服务器名字均以SZ开头,域后缀是tencent.com,域名与IP对应为 
sz sz2 : 61.144.238.145 61.144.238.146 61.144.238.156 

sz3 sz4 sz6 sz7 : 202.104.129.251 202.104.129.254 202.104.129.252 202.104.129.253 

sz5 : 61.141.194.203 

202.96.170.166 218.18.95.221 219.133.45.15 

61.141.194.224 
202.96.170.164 

2、TCP HTTP连接服务器4个,使用HTTP 80 和443端口连接 
这4个服务器名字均以tcpconn开头,域后缀是tencent.com,域名与IP对应为 
tcpconn tcpconn3 218.17.209.23 
tcpconn2 tcpconn4 218.18.95.153 
61.141.194.227 
218.18.95.171 

3、会员VIP登陆服务器,使用HTTP 443安全连接 
服务器IP 218.17.209.42 
以上内容不是本人研究 本人还没有测试!




原文链接:
转载请注明作者名及原文出处
阅读(1199) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~