论坛风格切换切换到宽版
发帖 回复
返回列表
  • 656阅读
  • 7回复

[问题求助]我的脚本到底是错在哪儿了,请高人指教!!! [复制链接]

 上一主题 下一主题
离线justinfull.
初中三年级
 
发帖
2077
C币
-60720
威望
374
贡献值
1
银元
-6
铜钱
4673
人人网人气币
0
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-01
#!/bin/bash

#comp.lete forward<性病>

echo ".1" >/proc/sys/net/ipv4/.ip_forward.
echo "1" >/pro.c/sys/net/ipv4/tcp_syncoo.kies外贸
echo "1" >/proc/sys/.net/ipv4/icmp_ignore_bog.us_error_responses.


#clear defau.lt rule and add new .rule    健康
iptables -F
iptables -X
iptables -Z

#service sshd
iptables -A INPUT -p tcp --dpor.t .22 -s 192.168.0.33 -j ACCEPT.
iptables -A INPUT .-.p tcp --dport 22 -s 192.168.0.199 -j ACCEPT           鲜花
iptables -P. INPUT   DROP    健康

ip.tables .-A OUTPUT -p tcp --sport 22 -d 192.168.0.33 -j ACCEPT服务器
iptables -A OUTPUT -p tcp --sport 22 -d 192.168.0.199. -j. ACCEPT.
i.ptables -P OUTPUT  DROP--- 印刷

#share. net to Internet.

iptab.les -t nat -A POSTROUTING -s 192.168.0.0/2.4 -j MASQUERADE          婚庆


#DROP string

iptables -A FORWARD -m string --string. "sex." -j DROP学习
#DROP domain
iptables -A FOR.WARD -m domain --name "163.com" -j D.ROP            杀毒
ip.tables -A FORW.ARD -m domain --name "sina.com" -j DROP.
iptables -A FORWARD -m doma.in --name "sina.com.cn." -j DROP.
iptables -A FORWARD -m domain --name "btch.ina.net" -j. DROP[成人用品]

#DROP IP

iptables -A FORWARD -m iprang.e --src-ran.g.e 192.168.0.77-192.168.0.107 -j  DROP.
iptables -A FORWARD -m iprange --src-range .1.92.168.0.132-192..168.0.138 -j DROP
iptables. -.A FORWARD .-m iprange --src-range 192.168.0.152-192.168.0.157 -j DROP电脑
iptables -A FORWARD -m iprange --src-range 192.168.0.173-192.1.68.0.1.8.1 -j DROP.

#DROP im
iptables -A FORWARD -m state --state. ESTA.BLISHED,RELATED -j ACCEPT.
iptables -A FORWARD -s 192.168.0.33 -p .udp --dport 80.00  -j ACCEPT服务器
iptables -.A FORWARD -s 192.168.0.199 -p udp .--dport 8000  -j ACCEPT.
iptab.les -A .FORWARD -m layer7 --l7proto qq -j DROP              乙肝
iptables -A FORWARD -s. 192.168.0.33 -p tcp -m mport --port 443,1863 -j ACC.E.PT.
iptables -A FORWARD -s 192.168.0.199 -p t..cp -m mport --port 443,1863 .-j ACCEPT.
iptables -A FORWA.RD -m lay.er7 --l7proto msnmessenger -j DROP域名


#DROP ipp2p

iptables -A FORWARD -m ipp2p  --edk --dc --ka..zaa --gnu. --bit --apple --winmx --soul --ares --mute --waste -j DROP教育


iptables -A FORWARD -p tcp -m mport --port 8.0.,53 -j ACCEPT投资
iptables ..-A FORWARD -p udp -m mport --port 53    -j ACCEPT.

ipta.bles -P FORWARD DROP虚拟主机

粗体为我要禁止QQ和MSN的代码,并让192.168.0.33和192.168.0..199这两个IP可以使用QQ.和MSN           女人
但是现在的问题是除了以上两个IP其它IP也.可以使用QQ但是MSN是不可以使用的,也就.是QQ没有达到我的目的,而MSN达到了。域名
不知为何
我个人觉得应该是和状态有关
也就是ipt.ables -A FORWARD -m state. --state ESTABLISHED,RELATED -j ACCEPT    美容
但不是如果没有这句代码
所有人.都使用不了QQ和MSN了教育
请高人指教问题到底出在哪儿?
谢谢!!!
评价一下你浏览此帖子的感受

精彩
感动
搞笑
开心
愤怒
无聊
灌水
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线星火联谊.
初中三年级
发帖
2025
C币
-235323
威望
401
贡献值
1
银元
-2
铜钱
4701
人人网人气币
0
只看该作者 沙发  发表于: 2010-04-13
我iptables --line-numbers --list 了一下
结果如下:
[root@linux shell]# iptables --line-numbers --list
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  192.168.0.33         anywhere            tcp dpt:ssh
2    ACCEPT     tcp  --  192.168.0.199        anywhere            tcp dpt:ssh

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    DROP       all  --  anywhere             anywhere            STRING match "sex"
2    DROP       all  --  anywhere             anywhere            domain --name "163.com"
3    DROP       all  --  anywhere             anywhere            domain --name "sina.com"
4    DROP       all  --  anywhere             anywhere            domain --name "sina.com.cn"
5    DROP       all  --  anywhere             anywhere            domain --name "btchina.net"
6    DROP       all  --  anywhere             anywhere            source IP range 192.168.0.77-192.168.0.107
7    DROP       all  --  anywhere             anywhere            source IP range 192.168.0.132-192.168.0.138
8    DROP       all  --  anywhere             anywhere            source IP range 192.168.0.152-192.168.0.157
9    DROP       all  --  anywhere             anywhere            source IP range 192.168.0.173-192.168.0.181
10   ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
11   ACCEPT     udp  --  192.168.0.33         anywhere            udp dpt:8000
12   ACCEPT     udp  --  192.168.0.199        anywhere            udp dpt:8000
13   DROP       all  --  anywhere             anywhere            LAYER7 l7proto qq
14   ACCEPT     tcp  --  192.168.0.33         anywhere            mport ports https,1863
15   ACCEPT     tcp  --  192.168.0.199        anywhere            mport ports https,1863
16   DROP       all  --  anywhere             anywhere            LAYER7 l7proto msnmessenger
17   DROP       all  --  anywhere             anywhere            ipp2p v0.8.2 --kazaa --gnu --edk --dc --bit --apple --soul --winmx --ares --mute --waste
18   ACCEPT     tcp  --  anywhere             anywhere            mport ports http,domain
19   ACCEPT     udp  --  anywhere             anywhere            mport ports domain

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             192.168.0.33        tcp spt:ssh
2    ACCEPT     tcp  --  anywhere             192.168.0.199       tcp spt:ssh
回复
举报
离线nyqs.
初中三年级
发帖
2106
C币
-132410
威望
378
贡献值
1
银元
-3
铜钱
4648
人人网人气币
0
只看该作者 板凳  发表于: 2010-04-13
可能问题出在这里
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 192.168.0.33 -p udp --dport 8000  -j ACCEPT

iptables -A FORWARD -s 192.168.0.199 -p udp --dport 8000  -j ACCEPT

iptables -A FORWARD -m layer7 --l7proto qq -j DROP

iptables -A FORWARD -s 192.168.0.33 -p tcp -m mport --port 443,1863 -j ACCEPT

iptables -A FORWARD -s 192.168.0.199 -p tcp -m mport --port 443,1863 -j ACCEPT

iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
复制代码
对于一个 NEW 包过来以后,不会被第一个 rule 匹配,走后面的
当被 -s 192.168.0.199 -p udp --dport 8000 匹配并放行后,回来的数据包很可能包含七层敏感信息
那么,马上会被下面的 -m layer7 --l7proto qq 匹配,之后丢弃
由于回包不能通过,因此不会被标记为 ESTABLISHED 状态,因此找个包不会通过防火墙
回复
举报
离线hxl7624.
初中三年级
发帖
2092
C币
-198849
威望
391
贡献值
1
银元
-2
铜钱
4657
人人网人气币
0
只看该作者 地板  发表于: 2010-04-13
那不知怎么样做才能达到我的目的呢?
还得麻烦白金大哥!!!
回复
举报
离线zymxs.
初中三年级
发帖
2008
C币
-193636
威望
349
贡献值
1
银元
-4
铜钱
4362
人人网人气币
0
只看该作者 4楼 发表于: 2010-04-13
老大给删除了?
回复
举报
离线brokenfly.
初中二年级
发帖
1941
C币
-152808
威望
364
贡献值
1
银元
-2
铜钱
4383
人人网人气币
0
只看该作者 5楼 发表于: 2010-04-13
iptables -A INPUT -p tcp --dport 22 -s 192.168.0.33 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 192.168.0.199 -j ACCEPT
iptables -P INPUT   DROP

iptables -A OUTPUT -p tcp --sport 22 -d 192.168.0.33 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -d 192.168.0.199 -j ACCEPT
iptables -P OUTPUT  DROP

本机只能SSH不能做其他的?

[ 本帖最后由 河里的鱼 于 2006-10-20 10:32 编辑 ]
回复
举报
离线jacky750512.
初中三年级
发帖
2162
C币
-152267
威望
379
贡献值
1
银元
-3
铜钱
4755
人人网人气币
0
只看该作者 6楼 发表于: 2010-04-13


QUOTE:原帖由 河里的鱼 于 2006-10-20 10:27 发表
iptables -A INPUT -p tcp --dport 22 -s 192.168.0.33 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 192.168.0.199 -j ACCEPT
iptables -P INPUT   DROP

iptables -A OUTPUT -p tcp --sport 22 -d 19 ...


是的
它只做防火墙
不做其它的任何事情
回复
举报
离线62712345.
初中三年级
发帖
2088
C币
-306683
威望
380
贡献值
1
银元
-3
铜钱
4663
人人网人气币
0
只看该作者 7楼 发表于: 2010-04-13
百思不得其解,修改
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT为
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
让NEW包匹配NEW包,结果依然不行
不知老大忙不忙,帮忙看看。
谢谢!!!
回复
举报
发帖 回复
返回列表
快速回复
限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
上一个 下一个