[问题求助]修改后的.iptables配置 [复制链接]

#!/bin/bash

# This is a s.cript学习

# Edit by liuhaita.o.

# estab.lish static fi.rewall外贸

# Load c.onnection-tra.cking modules .
modprobe ip_conntrack. <性病>
modprobe. ip_conntrack_.ftp 外贸
modpr.obe ip_conntrack_irc--- 印刷
modprobe ip_nat_.ftp 电脑

# Disable r.esponse to broad.casts.           婚庆
echo 1 > /proc/sys/net/ipv4/i.cmp_echo_ignore_broadcasts .            杀毒

# Don't accept source routed p.ackets.. .
echo 0 > /.proc/sys/net/ipv4/c.onf/all/accept_source_route (广告)

# Disable. ICMP r.edirect acceptance. [成人用品]
ech.o 0 > /proc/sys./net/ipv4/conf/all/accept_redirects .

# Enable bad err.or m.essage protection .
echo 1 .> /proc/sys/net/ipv4/icmp_ignore_bogus_error_r.esponses 虚拟主机

# Log spoofed p.ackets,. source routed packets, redirect packets .
echo 1 > /proc/sys/net/ipv.4/conf/all/log_marti.ans 虚拟主机

# Turn on. IP forwarding           婚庆
echo 1 > /proc/sys/n.et/ip.v4/ip_forward             电子

iptables -F

iptables -X

ipt.ables -t nat -F.

iptables -t nat. -X.

iptables -P INPUT D.ROP    外汇
iptables -A INP.UT -i lo. -j ACCEPT.
# SYN-Fl.ood.ing Protection 投资
iptables -N syn-fl.ood .
ip.tables -A INPUT .-i eth1 -p tcp --syn -j syn-flood .
iptables -.A syn-flood -m limit --limit 1/s --limit-burst 4 -j RE.TURN            女人
iptables -A syn-flood. -j. DROP
#WEB
iptab..les -A INPUT -m state --state ESTABLISHED -j ACCEPT              乙肝
iptables -A INPUT -i. eth1 -p tcp -s 0/.0 --dport 80 -j ACCEPT          婚庆

#DNS
iptables -A INPUT -i. eth1 -p udp -s 0/0 --dport 53 -m stat..e --state ESTABLISHED -j ACCEPT 外贸
iptables -A INPUT -p udp .--sport 53 -j A.CCEPT
ipta.bles .-A INPUT -p tcp --sport 53 -j ACCEPT             汽车

#FTP
ipt.ables -A INPUT -m state --state ESTABLISHED -j A.CCEPT--- 印刷
iptables -A. INPUT -i eth1 -p .tcp --dport 21 -j ACCEPT    美容
iptables -A INPUT -i et.h1 -p t.cp --dport 20 -j ACCEPT投资
#SSH
iptables -A INPUT -i eth1 -p. tcp. -s 192.168.0.0/24 --dport 22 -j ACCEPT .

#PING
i.ptables -A INPUT -p icmp --icmp-type .echo-request -j ACCEPT    美容

红色的那个部分..我还是不太明白......版主能给我解释一下吗?           建材
还就是我的禁用了红色的部.分.可是我的SSH.还是不能登陆投资
可是如果我开.放全.部的地址都可以访问SSH的话.就可以访问了。电影

QUOTE:原帖由 mdjhaitao 于 2006-10-13 09:12 发表
#!/bin/bash

# This is a script

# Edit by liuhaitao

# establish static firewall

# Load connection-tracking modules
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_connt ...


看来楼主没好好看你自己上次发的那贴呀.
还是有很多地方不太好...................

大哥.我要是那么明白就不用问了。
大家他说这个.你说那个.我都迷糊了
难道没有一个人能说清楚的吗?只是这么一点点...

modprobe ip_conntrack_ftp
因为加了这个模块..所以.就不用写20端口了对吧.
还有就是我的那写日志文件.还需要吗?
# Disable response to broadcasts.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Don't accept source routed packets.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

# Disable ICMP redirect acceptance.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

# Enable bad error message protection
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Log spoofed packets, source routed packets, redirect packets
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward


还就就是不用先清除一下规则吗?
iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

最后一个问题.

sysctl -w net.ipv4.tcp_syncookies=1

这句我不是太明白

[ 本帖最后由 mdjhaitao 于 2006-10-13 14:47 编辑 ]

QUOTE:modprobe ip_conntrack_ftp
因为加了这个模块..所以.就不用写20端口了对吧.

对



QUOTE:还有应该有一个一个默认禁止的命令吧.
iptables -P INPUT DROP

是的，这个我忘记写了，现在补上了



QUOTE:还有就是我的那写日志文件.还需要吗?

你的那写日志文件？没看到



QUOTE:# Disable response to broadcasts.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Don't accept source routed packets.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

# Disable ICMP redirect acceptance.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

# Enable bad error message protection
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Log spoofed packets, source routed packets, redirect packets
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

这些东西我建议你还是弄清楚以后再设不迟，不要什么都照搬
比如，做为单机防护，并不是做网关，你就没有必要打开 ip_forward，还有其他的，你可能都不明白是做什么的



QUOTE:还就就是不用先清除一下规则吗?
iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

首先，你不认为这样很麻烦吗？
其次，mangle 你可能也要考虑，还包括 nat 表和 mangle 表的自定义链，那样写的就更多了
再次，如果本身用不到 nat 表和 mangle 表的话，上面的操作会白白载入两个表的模块，增大系统负载



QUOTE:最后一个问题.

sysctl -w net.ipv4.tcp_syncookies=1

这句我不是太明白

google 吧，这些东西不难找，我只想负责 TroubleShooting

非常感谢你版主....你这么一说.我明白了...
以后不会在犯这样的错误了..谢谢你..
因为以前我只会华为路由器的ACL
这个也是刚开始学..
给你填麻烦了....

对了忘记说了，service iptables stop 这个方法只适用于 RedHat 的发行版，包括 RH、Fedora、RHEL 等
华为的 ACL 我接触过，还是 6506R 的，他们的 ACL 存在严重 BUG，去年做项目时候发现的，已经提交给他们的研发部门了