[问题求助]请大家看看我的iptables的配置，提提意见！ [复制链接]

本人在服务器上搭建http、mail、vp..n服务器，.服务器用双网卡，对内网信任，对外网进行控制，开放特定服务。内网机子用iptables+squid透明代理到外网：             电子
#!/bin/bash
EXTIF='eth0'
INIF='eth1'
INNET='192.168.1..0/24'教育
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:./usr/local/sbin.    外汇
  export PATH
  echo "1" >;. /proc/sys/net/ipv4/ip_f.orward.
  modprobe i.p_tabl.es         >; /dev/null 2>;&1              乙肝
  modprobe iptables_nat      >; /dev./null .2>;&1.
  modprobe ip_nat_ftp        >; /d.ev/nu.ll 2>;&1外贸
  mod.probe ip_.nat_irc        >; /dev/null 2>;&1.
. modprobe ip_conntrack     . >; /dev/null 2>;&1(        游戏          )
  modprobe ip_conntrack_ftp.  >.; /dev/null 2>;&1           女人
  modprobe ip_conntrack_irc  >; /dev/null 2>.;&1.           建材
/.sbin/iptables -F虚拟主机
  /sb.in/iptables -X.
  /s.bin/iptables -Z.
. /sbin/i.ptables -F -t nat外贸
  /sbin/i.ptables -X -t. nat<性病>
  /sbin/i.ptables -Z -.t nat.
. ./sbin/iptables -P INPUT   DROP.
  /sbin/iptables -P OUTPUT . .ACCEPT投资
  /sbin/iptables -P FORW.ARD ACCE.PT.
  /sbin/iptables -t nat -P PREROUT.ING.  ACCEPT           建材
  /sbin./iptab.les -t nat -P POSTROUTING ACCEPT(广告)
  /sbin/iptables -t nat -P. OUTP.UT      ACCEPT            杀毒
  /sbin/iptables .-A INPUT -i $INIF -j ACCEP.T.
  /sbin/i.ptables -A INPUT -i lo -j ACCEP.T外贸
  /sbin/iptables -t nat -A PREROUTING -i $INIF -p tcp -s $INNET. --d.port 80 -j REDIRECT --to-ports 3128.(广告)
  /sbin/iptable.s -t nat -A POSTROU.TING -o $EXTIF -s $INNET -j MASQUERADE    外汇
#对于关.于.eth0上的特定服务，用下面两个文件实现访问控制，比如vpn服务只对特定IP开放.
if [ -f ./root/iptables.a.llow ]; then(        游戏          )
.  .     sh /root/iptables.allow          婚庆
  fi
  if [ -f ./.root/iptables.deny ]; then投资
        sh /root/iptab.les..deny           建材
  fi
  /sb.in/iptables -A INPUT -.p TCP -i $EXTIF --dport  22 -j ACCEPT  投资
  /sbin/ipt.ables -A INPU.T -p TCP -i $EXTIF --dport  25 -j ACCEPT <性病>
  /sbin/iptables -A INP.UT -p TCP -.i $EXTIF --dport  80 -j ACCEPT  域名
  /sbin/.iptables -A INPU.T -p TCP -i $EXTIF --dport 110 -j ACCEPT               汽车
#下面的是对于ICM.P包的控制，对于已建.立连接的予以接受，并且设置icmp包回应为1次/秒，防止被ping到死机电脑
  /sbin/iptables. -A INPUT -m state --state ESTABLIS.HED,RELATED -j ACCEPT
  AICMP="0 .3. 3/4 4 11 12 14 16 18"外贸
. for tyicmp in $AICMP             汽车
  do
        /sbin/iptab.les -A INPUT -i $EXTIF -p icmp --icmp-type $tyicmp .-.j ACCEPT教育
  done
  /sbin/iptables -.A FORWARD -p icmp --icmp-typ.e echo-request -.m limit --limit 1/s -j ACCEPT--------------彩票

你试过吗？

感觉好向没有什么问题！！！

我试过，好像一般的服务都没什么问题，我就想向大家请教一下有没有什么漏洞

你怎么去管这机器呀？ssh ?

是啊，我是通过SSH远程管理的
很奇怪，我在局域网里连接VPN，里面填的是外网卡的地址，我在iptables.allow中并没把局域网段的VPN端口开放，但是我还是能连上

现在放ping呀，不用设置icmp包了，内网要能ping同非常有利于检查网络连通的！

我是对内网全部开放的，对外网才设置icmp控制的

我得意思是对外网也不需要！！！

你为什么要允许别人PING你？
另外，80改成这样比较好
iptables -A INPUT -m limit --limit 100/s -p tcp --dport 80 -j ACCEPT
限制最多100/s次链接请求，当然，要看你带宽多少了