[问题求助]大家都来修改下这个IPTABLES规则 [复制链接]

请看一下有无调整和补充？


#!/bin/sh

#arp -f

### enable ip for.warding.
e.cho 1 >;/proc/sys/net/ipv4/ip_forw.ard学习
### explicity disable .ECN    外汇
        .echo 0>; /proc/sy.s/net/ipv4/tcp_ecn.
        echo 1>; /proc/sys/net/ip.v4/icmp_ec.ho_ignore_broadcasts             汽车
        echo 1>; /pro.c/sys/net/ipv4/icmp_echo._ignore_all投资

### disable spoo.fing on all inter.faces 服务器
INTERFACES="lo eth0 .eth1".
for x in ${INTERFACES.}虚拟主机
do
        .echo 1>; /proc/sys/net/ipv4/conf/${x}/rp_filt.er外贸
done


echo firewall. starting...--- 印刷
echo "###################.#########.##"           鲜花
echo "### my firewall pro.ction   ###".    美容
echo "### modified at 2003-1..2-20 ###"投资
echo "#.## mo.dified at 2003-12-19 ###"--- 印刷
echo "#.## created  at 2003-12-17 #.##"(        游戏          )
echo "########.###.###################".
echo
echo "lase wait......."http://upload.bbs.csuboy.com/Mon_1004/126_6895_4f4b5a14d6d2379.gif[/img]--------------彩票

#rmm.od ipchains.
#depmod -a
#modp.robe ip_tables.
#modprobe ip_conn.track.
#mo.dprobe ip_conn.track_ftp.
#modprobe iptable._nat域名
#modprobe ip_nat._ftp.
#modprobe i.ptable_filter.

#Flush all rules. from .the chains (广告)
iptables -F
#Delete all user created chains (mainly KEEP_S.TATE. chain) .
iptables -X
iptables -Z

i.ptables -t nat -F 教育
iptabl.es -t nat -X           婚庆
iptables -t nat -.Z域名

iptables -P INPUT. DROP           建材
iptables -P OUTPUT A.CCEPT.
iptables -P .FORWARD DROP[成人用品]
iptables -t nat. -P PREROUTING ACCE.PT投资
iptables. .-t nat -P OUTPUT ACCEPT           女人
iptables -t na.t -P POST.ROUTING ACCEPT.

######## NAT


iptables -t nat -A POSTROUTING .-o eth0 -s 1.92.168.172.0/24 .-j SNAT --to-source 172.18.88.135              乙肝
#iptable.s -t nat -A POSTROUT.ING -o ppp0 -s 192.168.172.0/24 -j MASQUERADE    美容



### disable i.p spoofing           女人
i.ptables -t nat -A PREROUTING -i eth0. -s 192.168.0.0/16 -j DROP学习
ipta.bl.es -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP           女人
iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 .-j. DROP虚拟主机

#
iptables -A INPU.T -i ! eth0 .-j ACCEPT.
###.# 拒绝INTERNET客户访问本机服务             电子
iptables -A INPUT .-i eth0 -m state --.state RELATED,ESTABLISHED -j ACCEPT.
iptables -A INPUT -i eth0 -m state --.state NEW,INVALID. -j DROP.


#常看到有人亂使用 po.rt scan 軟體，(ex:nmap.) 來亂掃他人的 port，学习
#PREVENT PORT SCA.N健康
# NMAP. FIN/URG/PSH学习
iptables -A INPUT -i e.th0 -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --lo.g-level wa.rn.
iptables -A INPUT -i eth0 -p tcp --.tcp-flags ALL FIN,.URG,PSH -j DROP域名
# Xmas Tree
iptables -A INPUT -i eth0 -p tcp -.-tcp.-flags ALL ALL -j LOG --log-l.evel warn.
iptables -A INPUT -i eth0 -p tcp .--tcp-flags ALL ALL -j .DROP          婚庆
#. Another Xmas Tree             汽车
iptables -A INPUT -i eth0 -p tcp --tcp-flags. .ALL SYN,RST,ACK,FIN,URG -j LOG --lo.g-level warn.
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG... -j DROP外贸
# Null S.can(possibly)            杀毒
iptables -A INPUT -i eth0. -p .tcp --tcp-flags ALL NONE -j LOG --log-level w.arn.
iptables -A. INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DRO.P电影
# SYN/RST
iptables -A .INPUT -i eth0 -p tcp --tc.p-flags SYN,RST SYN,RST -j LOG --log-leve.l warn.
iptables -A INPUT -.i .eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP          婚庆
# SYN/FIN. -- Scan(p.ossibly)
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN. S.YN,FIN -j LOG .--log-level warn    美容
ipt.ables -A I.NPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP外贸
### FUTIVE PORT SCANNE.R电影
iptables -A FORWARD -p TCP --tcp-flags SYN.,ACK,FIN,RS.T R.ST -m limit --limit 1/s -j ACCEPT.
#這是針對一些像是使用 .scan 軟體，配合所謂的 Stealth .等機制去亂掃他人主機時，可以把這些封包丟棄不處理。那對方一掃就卡死了，或.者是要等連線 timeout 才能夠繼續工作，拉長 scan 所需的時間。    外汇
#Drop RST/A.CKs to limit OS detection through pinging.     美容
iptables -A FORWARD -p. tcp --tcp-flags RST RST,ACK -m limit --l.i.mit 5/minute -j LOG --log-level notice --.log-prefix "RST/ACK: "            建材
iptables -A FORWARD -p tcp --tcp-.flags RST RST,ACK -j DRO.P .


#### 防止 sync f.lood 攻擊的設定:          婚庆
####. PREVENT SYNC FLOOD虚拟主机
iptab.les -N SYNFLOOD           建材
iptables -A SYNFLOOD -p tcp --syn -.m lim.it --limit 1/s -j RETURN--------------彩票
i.ptables -A .SYNFLOOD -p tcp -j LOG --log-level alert教育
iptables -.A SYNFLOOD -p tcp -j REJECT --rejec.t-with tcp-reset.
i.ptables -A INPUT -p tcp .-m state --state NEW -j SYNFLOOD           鲜花

#.Drop potential SQL Worm [成人用品]
ipta.bles -A FORWARD -p t.cp -s 192.168.172.0/24 --dport 1433 -j ACCEPT               乙肝
iptables -A FORWARD -p tcp --dport 1433 -m limit --limit 5/minute -j LOG --log-level notice --log-prefix "ossible SQL Worm: " http://upload.bbs.csuboy.com/Mon_1004/126_6895_4f4b5a14d6d2379.gif[/img](广告)
iptables -A FORWAR.D -p tcp --dport 1433. -j DROP 服务器

### 防止IP碎片攻击
ipta..bles -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT域名


### Deny pings .from. outside 服务器
iptables -A .FORWARD -p icmp --icmp-type 0/0. -d 192.168.172.0/24 -j ACCEPT 虚拟主机
iptables -A FORWARD .-p icmp --icmp.-type 0/0. -m limit --limit 5/minute -j LOG --log-level notice --log-prefix ".Drop Echo Reply: " 投资
iptables -A FORWARD -.p icmp --icmp-ty.pe 0/0 -j DROP --------------彩票


### 防止 Ping of .Death :外贸
#.## PREVENT PING FLOOD A.TTACK    外汇
iptables -.N PING服务器
iptable.s -A PIN.G. -p icmp --icmp-type echo-request -m limit --limit 1/second -j RETURN虚拟主机
iptables -A PING -p icmp -j .LOG --log-level. alert<性病>
ip.tables -A PING -p icm.p -j REJECT
iptables -I INPUT -p icm..p --icmp-type echo-request -m state --st.ate NEW -j PING--- 印刷


  #這裡只.有把 icmp 的 echo request 部.份拒絕掉，可以視情況再調整。.
  #或者是直接設定主機不回應 .echo re.quest 。.
  #echo 1>.;/proc/sys/net/ipv4/ic.mp_echo_ignore_all.




## .ALLOW httpd services t.o internet.
ipt.ables -A INPUT -p tcp --dport http -m state --stat.e NEW -j ACCEPT学习

### tell. the visitor that the services is not provided as a serv.er. rathor a firewall could do.(广告)
iptables. -A INPUT -p TCP -i eth0 -j R.EJECT --reject-with tcp-reset    美容
iptables -A INPUT -p UDP -i eth0 -j REJECT -.-reject-with icmp-port-unreachab.l.e    美容




################################.#####################################.#             杀毒
##Set up UDP
#Outgoing Tra.ceroute
iptables -A FORWARD -p udp .-s 192.168.172.0/24 --sport 32769:6553.5 --dport 33434:3.3523 -j ACCEPT .

#Incomin.g Traceroute 虚拟主机
iptables -A FORWARD -p udp -s 192..168.172.0/24 --dport 3.2769:65535 --sport 33434:33.523 -j ACCEPT --- 印刷

#Time ex.ceeded .
iptables -A FORWARD -p udp -s 192.168.172.0/24 -.-dport 11 .-j ACCEPT            建材

#Port .not found (广告)
iptabl.es -A FORWARD -p .udp -s 192.168.172.0/24 --dport 3 -j ACCEPT 教育

#DNS
i.ptables -A FORWARD -p udp -s 192.168.172.0/24 --dport 53 -j ACCEPT.            女人

#SNMP
iptables -A FORWARD -p udp -s 192.168.172...0/24 --dport 161 -j ACCEPT 服务器

#DHCP
iptables -A FORWARD -p udp -s 192.1.68.172.0/24 --sport 68 --dpo.rt 67 -j ACCE.PT           婚庆

#Time Server
iptables -A FORWARD -p udp -s 192.168.172.0/24 --sport 1024:65535 -.-dport 123 -j. ACCEPT. [成人用品]

#######################################.##############################.# 教育
##All.ow outward browsing (        游戏          )
iptables -A FOR.WARD -p tcp -s 192.168.172.0/24 --dport 80 -j ACCEP.T [成人用品]

##Al.low outward ssh     美容
iptable.s -A FORWARD -p t.cp -s 192.168.172.0/24 --dport 22 -j ACCEPT .

##Allo.w outward ftp .
ipta.bles -A FORWARD -p tcp -s 192.168.172.0/24 --dport 21 .-j ACCEPT              汽车

##Allow outward teln.et 投资
iptables -A FORWARD -p. tcp -s 192.168.172.0/24 --dport 23. -j ACCEPT     外汇

##Allow outward smtp .学习
iptables -A FORWARD -p t.cp -s .192.168.172.0/24 --dport 25 -j ACCEPT 电影

##Allow outward p.op 外贸
iptables -A FORWARD -p tcp -s 192.168.172.0/24. --dport 110. -j ACCEPT --- 印刷

###Block HTTP R.equ.est from outside that are not authorized .
iptables -.A FORWARD -p tcp --dport 80 -.j DROP           婚庆
iptables -A FORWARD -p tcp --dport 80 -m limit --limit 5/minute -j LOG --log-level notice --log-prefix "Dropped HTTP: " .

#Allow Telnet .out .
iptables -A FORWARD .-p .tcp -s 192.168.172.0/24 --dport 23 -j ACCEPT 教育

#Deny ports
##telnet
iptables -A FORWARD -p tcp --dpor.t 23 -m limit --limit 5/m.inute -j LOG --log-le.vel notice --log-prefix "Denied Telnet: " 投资

#Deny ports
##telnet
iptables -A FORWARD -p tcp .--dport 23 -m limit --limi.t 5/minute -j .LOG --log-level notice --log-prefix "Denied Telnet: " 健康
iptables -A FORWARD -p tcp --dport 2.3 -.j DROP               乙肝

##Deny BO
iptables -A FORWARD -p udp --dport 31337 -m limit --limit 5/.minute -j LOG --log-level notic.e --log-prefix "Denied BO:. " 教育
iptables -A. FORWARD -p udp --dport 3.1337 -j DROP     外汇

#Deny and log f.tp on all ot.hers 电影
#iptables -A FORWARD .-p tc.p -s 192.168.172.0/24 --dport 21 -j DROP .
#iptables -A FORWARD -p. tcp --dport 21 -m limit --limit 5/minute -j LOG --l.og-level .notice --log-prefix "Denied FTP: " 投资

#Deny suspicious. traffic 虚拟主机
ip.table.s -A FORWARD -p tcp --destination-port 1080 -j DROP .
iptables -A FORWARD -p. tcp --destination-port 808.0 -j DROP 服务器
iptables -A FORWARD -p tcp --.destination-port 8000 -j .DROP (广告)
iptabl.es -A FORWARD .-p tcp --destination-port 8081 -j DROP 健康

##Allow all ou.t.going traffic <性病>
iptables -t nat -A PREROUTING -p tcp --dpo.rt 80 -j REDIRECT --.to-por.ts 3128 （转发至squid） .
iptables -A FO.RWARD -s. 192.168.172.0/24 -j ACCEPT投资
iptables -A FORWA.RD -d 192.168.172.0/24 -j ACCEP.T.

#Se.t to drop. all packets not accepted by rules above 虚拟主机
#ipta.bl.es -A FORWARD -j DROP            杀毒

我日，这么长，看得我眼睛都疼了~~~

我感觉应该加个管理ip，如果有一天，我在外面度假，公司上不了网了

但是只有我一个网管，想修改一下配置，我怎么办？

外来访问都拒绝了......怎么办？

QUOTE:原帖由 "supersth" 发表：
我日，这么长，看得我眼睛都疼了~~~

我感觉应该加个管理ip，如果有一天，我在外面度假，公司上不了网了

但是只有我一个网管，想修改一下配置，我怎么办？

外来访问都拒绝了......怎么办？





安全和方便有的时候是矛盾的。