[求助]大家帮我看看我的iptables哪里写错了|Linux系统专区人人网,QQ空间,登陆,renren,注册,校内,刷人气

离线icelee.

初中三年级

发帖: 2030

C币: -262745

威望: 411

贡献值: 1

银元: -1

铜钱: 4655

人人网人气币: 0

只看楼主倒序阅读使用道具楼主发表于: 2009-05-01

我抄的.规则如下：加上什么规则才能使自己的机器能上网呢？..

#!/bin/bash
#Define string
IPT=/sbin/iptabl.es    美容

#Refresh rules
$IPT .-F FORWARD.
$IPT -F INPUT
$IPT -F OUTPUT

#Default .policy外贸
$IPT -P INP.UT DROP外贸
$IPT .-P FORWARD DROP    健康
$IPT -P OUTPUT A.CCEPT           鲜花

#Enable loop.back.
$IPT -A INPUT -i lo -p all -j. A.CCEPT              乙肝

#Interface for.ward          婚庆
$IP.T -A FORWARD -s 192.168.0.0/2.4 -j ACCEPT.
$IPT -A FORWARD -d. 192.168.0.0/.24 -j ACCEPT             汽车

#Enable ssh
$IPT -A INPUT -.p t.cp --dport 22 -j ACCEPT.

#Add other access rule. --------------彩票
$IPT -A INPUT. -p t.cp --dport 20 -j ACCEPT           鲜花
$IPT -A IN.PUT -p tcp --dport 21 -j ACCEP.T投资
$IPT .-A. INPUT -p tcp --dport 80 -j ACCEPT    外汇
$IPT -A INPUT .-p tcp --dport. 53 -j ACCEPT.
$IPT -A INPUT -.p udp --dp.ort 53 -j ACCEPT域名

$IPT -A OUTPU.T -p tcp --dport 53 -j ACCE.PT健康
$IPT. -A OUTPUT -p udp --dp.ort 53 -j ACCEPT学习

#$IPT -A INPUT .-p tcp --dport 23 -j. ACCEPT<性病>
$IPT -A INPUT -.p tcp --.dport 110 -j ACCEPT--- 印刷
$IPT. -A INPUT -p tcp --dport 25. -j ACCEPT.
$IPT -A INPUT -p tc.p --.dport 443 -j ACCEPT服务器

#secure

#抵.挡对 Linux 主机异样的 ICMP 封包    美容
$IPT -I INPUT -p icmp --icmp-type echo-request -m. limit --limit 6./min --limit.-burst 4 -j ACCEPT.

#如果有人使用nmap来乱扫他人的por.t，搬出终极.大法.学习
# NMAP FIN/URG/P.SH.
$IPT. -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,U.RG,PSH -j DROP.
# Xmas Tree
$IPT -A INPUT -i eth0 -p tcp --tcp-flags ALL AL.L -j DRO.P.
# Another Xmas Tr.ee
$IPT -A INPUT -i eth0 -p tc.p --tcp-flags ALL SY.N,RST,ACK,FIN,URG -j DROP          婚庆
# Nu.ll Scan(possibly)域名
$IPT -A IN.PUT -i eth0 .-p tcp --tcp-flags ALL NONE -j DROP    外汇
# SYN/RST
$IPT -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST .SYN,RST -j .DROP    外汇
# SYN/FIN .-- Scan(possibl.y).
$IPT -A INPUT -i eth0 -.p tcp --tcp-flags SYN,FIN SYN,F.IN -j DROP.

#防止 .sync flood 攻击的设定           女人
$IPT .-N synfoold.
$.IPT -A synfoold -p tcp --syn -m limit --limit 1/s -.-.limit-burst 4 -j RETURN<性病>
#每秒.最多４个syn联机封包进入             汽车
$IPT -A synfoold. -p tcp -j REJECT --r.eject-with tcp-reset[成人用品]
$IPT -A INPUT -p tcp -m state --stat.e NEW -j s.ynfoold虚拟主机

#防止 Ping of .Death--------------彩票
$IPT -N bad-pin.g             电子
$IPT -A bad-ping -p icmp --icmp-t.ype ec.h.o-request -m limit --limit 1/s -j RETURN学习
$IPT -A bad-ping -p icmp. -j REJECT..
$.IPT -I INPUT -p icmp --icmp-type echo-request -m s.tate --stat.e NEW -j bad-ping.

评价一下你浏览此帖子的感受

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

离线粉妮.

初中三年级

发帖: 2012

C币: -235746

威望: 342

贡献值: 1

银元: -3

铜钱: 4435

人人网人气币: 0

只看该作者沙发发表于: 2010-04-13

$IPT -P OUTPUT ACCEPT

$IPT -A OUTPUT -p tcp --dport 53 -j ACCEPT

$IPT -A OUTPUT -p udp --dport 53 -j ACCEPT
复制代码
这三句什么意思？

$IPT -A INPUT -p tcp --dport 53 -j ACCEPT

$IPT -A INPUT -p udp --dport 53 -j ACCEPT
复制代码
这两句，你做DNS服务器吗？

$IPT -A INPUT -p tcp --dport 110 -j ACCEPT

$IPT -A INPUT -p tcp --dport 25 -j ACCEPT

$IPT -A INPUT -p tcp --dport 443 -j ACCEPT
复制代码
这三句，你的网关是MAIL服务器和HTTPS服务器吗？

#防止 sync flood 攻击的设定

$IPT -N synfoold

$IPT -A synfoold -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j RETURN

#每秒最多４个syn联机封包进入

$IPT -A synfoold -p tcp -j REJECT --reject-with tcp-reset

$IPT -A INPUT -p tcp -m state --state NEW -j synfoold
复制代码
就允许4个syn，然后每秒才通过1个，你这个服务器还打算用吗？

# NMAP FIN/URG/PSH

$IPT -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

# Xmas Tree

$IPT -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP

# Another Xmas Tree

$IPT -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

# Null Scan(possibly)

$IPT -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP

# SYN/RST

$IPT -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

# SYN/FIN -- Scan(possibly)

$IPT -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
复制代码
这段的原理希望你能给我讲讲：）

$IPT -I INPUT -p icmp --icmp-type echo-request -m limit --limit 6/min --limit-burst 4 -j ACCEPT

$IPT -N bad-ping

$IPT -A bad-ping -p icmp --icmp-type echo-request -m limit --limit 1/s -j RETURN

$IPT -A bad-ping -p icmp -j REJECT

$IPT -I INPUT -p icmp --icmp-type echo-request -m state --state NEW -j bad-ping
复制代码
这里我就更迷惑了，你没发现其实有了最后一行，第一行就失效了吗

离线儍儍鈺藸.

初中三年级

发帖: 2037

C币: -235268

威望: 387

贡献值: 1

银元: 0

铜钱: 4662

人人网人气币: 0

只看该作者板凳发表于: 2010-04-13

楼上的大哥，前面的一些是自己写的，到了安全的地方是抄的别人的，也不知道什么意思，就是想让服务器安全一点。结果发现机器不能上网了。但是又不想把防止攻击的部分去掉。
我的服务器是要用来作为dns，mail，以及https的。

发现机子不能解析域名，但是能ping同ip地址，所以加了两条规则。
$IPT -A OUTPUT -p tcp --dport 53 -j ACCEPT
$IPT -A OUTPUT -p udp --dport 53 -j ACCEPT
发现不行又加了一条
$IPT -P OUTPUT ACCEPT
还是不行。

离线vvvdong.

初中三年级

发帖: 2096

C币: -236276

威望: 360

贡献值: 1

银元: -2

铜钱: 4575

人人网人气币: 0

只看该作者地板发表于: 2010-04-13

防火墙的效果，是很多条规则组合起来产生的
你的这个脚本逻辑混乱、杂乱无章、前后矛盾
网上的东西可能是用来做别的用途的，你拿来硬用，就是断章取义

离线jiji134.

初中三年级

发帖: 2135

C币: -236194

威望: 372

贡献值: 1

银元: -3

铜钱: 4705

人人网人气币: 0

只看该作者 4楼发表于: 2010-04-13

建议你去看一下Netfilter packet filtering HOWTO，然后我们再来讨论，那样对你会有好处


	http://www.csuboy.com 访问内容超出本站范围，不能确定是否安全


	关闭您还没有登录，快捷通道只有在登录后才能使用。立即登录还没有帐号？赶紧注册一个


	关闭选中1篇全选

帖子

[问题求助][求助]大家帮我看看我的iptables哪里写错了 [复制链接]