[问题求助][CentOS] 请大虾帮我看看我的防火墙,外网映射cs1.6服务器,会一断一断的 [复制链接]

请大虾帮我看看我的防火墙,外网映射cs1.6服务器,会..一断一断的            杀毒
这个防火墙是网吧.双线路由的防火墙             汽车
#!/bin/sh
#
##############.########.##########################################.###############<性病>
# Local Set.tings           建材

SYSCTL="/sbin/s.ysctl -w" .

IP.T="/sbin/iptables"域名
IPTS="/sbin./iptables-s.ave"(        游戏          )
IPTR="/sbin/iptab.les-rest.ore".

#. CNC Internet Interface            杀毒
ICNC_IFACE=."eth1"--------------彩票
ICNC._ADDRESS="123.15.*.*"    美容

# C.TC Internet Interface.
ICTC_IFACE="et.h2".
ICTC_ADDRESS="222..88.*.*".

# Local Interface.. Information.
LOCAL_IFACE=."eth0".
LOCAL_IP="19.2.168.0.254"服务器
LOC.AL_NET="192..168.0.0/24"健康
LOCAL_BCAS.T="192..168.0.255".

# Local.host Interface.

LO_IFACE="lo"
LO_IP="127..0.0.1"健康

########################.#########################..##############################.
#
# Load Modules
#
/sbin/modprobe ip._tables             汽车
/sbin/modprob..e ip_conntrack.
/sbin/modprobe iptable_filte..r.
/sbin/modprobe. ip_nat_ftp.
/sbin/m.odprobe i.p_conntrack_ftp虚拟主机

####.###################################.############################.############.
#
# Kernel Parame.ter Configur.ation学习

if [ ."$SYSCTL" = "" ]健康
then
        echo. "1" > /proc/sys/net/ipv4/ip_forwa.rd             电子
        ech.o "1" > /proc./sys/net/ipv4/tcp_syncookies学习
        echo "1" > /proc/sys/net/ipv..4/conf/all/rp_filter             汽车
        ech.o "1" > /proc/sys/net/ipv4/icmp_echo_ignore_.broadcasts学习
        echo "0" > /proc/sys/net/i.pv4/co.nf/all/accept_source_route                   女人
        echo "1" > /proc/sys/net/ipv4/conf/all/log_mart.ians  .      健康
        echo "1". > /proc/sys/net/ipv4/conf/all/secure._redirects    美容
else
      ..  $SYSCTL net.ipv4.ip_forward="1"            杀毒
        $SYSCTL ne..t.ipv4.tcp_syncookies="1"投资
        .$SYSCTL net.ipv4.conf.al.l.rp_filter="1".
        $SYSCTL net.ipv4.icmp_echo._ignore_broa.dcasts="1"        (广告)
        $SYSCTL net.ipv4.conf.al.l.accept_source._route="0"        .
        $SYSCTL ne.t.ipv4.conf.all.secur.e_redirects="1"<性病>
        $SYSCTL net.ipv4.conf.all..log_mart.ians="1"(广告)
fi

#############.#####################################.#####################.########虚拟主机
echo "Flus.hing Tables ...."           建材

$IPT -P INPUT A.CCEPT电影
$IPT -P. FORWARD ACCEPT健康
$IPT -P OU.TPUT ACCEPT           鲜花
$IPT -t n.at -P PRERO.UTING ACCEPT    美容
$IPT -t na.t -P POSTROUT.ING ACCEPT              乙肝
$IPT -t nat. -P OUTPU.T ACCEPT(        游戏          )
$..IPT -t mangle -P PREROUTING ACCEPT域名
$IPT -t mangle. .-P OUTPUT ACCEPT            杀毒
$IPT -F
$IPT -t nat -F
$IPT -t. mangle -F投资
$IPT -X
$IPT -t nat -X
$IPT -t mangl.e -X.
$IPT -P INPU.T DROP(        游戏          )
$IPT -P OUTPUT DRO.P    美容
$IPT -P FORWA.RD DROP              乙肝

e.cho "Create and populate custom rule c.hains ..."           鲜花

$IPT -N b.ad_packets           建材
$IPT .-N bad_tcp_packets           女人
$IPT -N .icmp_packets           建材
$IPT -N udp_inbo.und    外汇
$IPT .-N udp_outbound.
$IPT -N. tcp_inbound           女人
$IPT -N .tcp_outbound.

################################.####.###################.########################    健康
#. bad_packets chain    健康

$IPT -A bad_pac.kets -p ALL -i $ICNC_IFACE -s $LOCAL_NET -.j LOG --log-prefix "Illeg.al source: "          婚庆
$IPT -A .bad_packets -p ALL -i $ICNC_IF.ACE -s $LOCAL_NET -j DROP投资
$IPT -A bad_packets -p ALL -i $I.CTC_IFACE -s $LOCAL_NET -j LOG --log-prefix "Illegal so.urce.: "健康
$IPT -A bad_packets -p ALL -i $IC..TC_IFACE -s $LOCAL_NET -j DROP           鲜花
$IPT -A bad_packets. -p .ALL -m state --s.tate INVALID -j LOG --log-prefix "Invalid packet: "健康
$IPT -A bad_packets -p ALL -m state --st.ate INVA.LID -j DROP.
$IPT -A bad_pack..ets -p tcp -j bad_tcp_packets.
$IPT -.A bad_.packets -p ALL -j RETURN             汽车
$IPT -A bad_tcp_packets. -p tcp -i $LOCAL_IF.ACE -j RETURN              乙肝
$I.PT -A .bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New no.t syn: "投资
$IPT. -A bad_tcp_p.ackets -p tcp ! --syn -m state --state NEW -j DROP[成人用品]
$IPT -A bad_tcp_packets -p tc.p --tcp-fl.ags ALL NONE -j LOG --log.-prefix "Stealth scan: "    美容
$IPT -A ba.d_tcp_.packets -p tcp --tcp-flags ALL NONE -j DROP投资
$IPT -A bad_tcp_packets -p tcp --tcp-flags. ALL ALL .-j LOG --log-pre.fix "Stealth scan: "投资
$IP.T -A bad_tcp_packets -p tcp --tcp.-flags ALL ALL -j DROP           建材
$IPT -A bad_tcp_packets -p tcp --tcp-flags ..ALL. FIN,URG,PSH -j LOG --log-prefix "Stealth scan: "             汽车
$IPT -A bad_tcp_packets -p tcp --.tcp-flags AL.L FIN,URG,PSH -j DROP电脑
$IPT -A. bad_tcp_packets -p .tcp --tcp-flags ALL SYN,RS.T,ACK,FIN,URG -j LOG --log-prefix "Stealth scan: "           建材
$IPT -A bad_tcp_pac.kets. -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP.
$IPT -A bad_tcp_packe.ts -p tcp --tcp-flags SYN,RST SYN,RST. -j LOG --log-pre.fix "Stealth scan: ".
$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,RST .SYN,RST -j DRO.P
$IPT. -A bad_tcp_packets -p tcp --tcp-flags S.YN,FIN. SYN,FIN -j LOG --log-prefix "Stealth scan: "虚拟主机
$IPT -A bad_tcp._packets -p t.cp --tcp-flags SYN,FIN SYN,FIN -j DROP教育
$IPT -A bad_tcp._packets -p tcp -j .RETURN.

$IPT -A icmp_packe.ts --fragm.ent -p ICMP -j LOG --log-p.refix "ICMP Fragment: ".
$IPT -A icmp_packets --fragment -p ICMP -j D.RO.P    健康
$IPT -A i.cmp_packets -p ICMP -s 0/0 --icmp-type .8 -j ACCEPT--------------彩票
$IPT -A icmp_packets -p ICMP -s 0/0 -.-icmp-typ.e 11 -j ACCEPT.
$IPT -A .icmp_packets -p ICMP -j RE.TURN           女人
$IPT -A udp_inboun..d -p UDP -s 0/0 --destination-port 137 -j DROP    健康
$IPT -A udp_inbound -p UDP -s 0/0 --de.stination-po.rt 138 -j DROP          婚庆
$IPT -A udp_inbound -p. UDP -s 0/0 --.destination-port 113 -j REJECT            杀毒
$IPT -A udp_inbound -p UDP -j .RETU.RN    健康
$IPT. -A udp_outbound -p UDP -s .0/0 -j ACCEPT.
$.IPT -A t.cp_inbound -p TCP -s 0/0 --destination-port 113 -j REJECT学习

# HTTP
#$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 80 -j ACCE..PT.
#$IPT -A tcp_inbound -p TCP -s 0/0 .--destination-port. 21 -j ACCEPT    美容
#.$IPT -A tcp_inbound -p TCP -s 0/0 .--source-port 20 -j ACCEPT
#$IPT -A tcp_inbound -p TCP .-s 0/0 --destination-port 62.000:64000 -j ACCEPT虚拟主机
$IPT -A tcp_inbound -p TCP -s 0/0 --dest.ination-port 271.21 -j ACCEPT.
$IPT -A t.cp_i.nbound -p TCP -j RETURN.
$IPT -A tcp_.outbound -p TCP .-s 0/0 -j ACCEPT(广告)

#############################.#####################.#####.########################[成人用品]
#
# INPUT Chain
#

echo ."Process INPUT. chain ...".

#. Allow .all on localhost interface            杀毒
$I.PT -A INPUT -p ALL -i $LO._IFACE -j ACCEPT投资
$IPT -A .INPUT -p ALL -j bad_p.ackets.
$IPT -A INPUT -p. ALL -d 224.0.0.1 -j DR.OP外贸
$IPT -A INPUT -p ALL -i $LOCAL._IFACE -s $LOCAL_NET -j ACCE.PT健康
$IPT -A INPUT -p ALL -i $LOCAL_IF.ACE -d $LOCAL_BCAST -j. ACCEPT.

# A.cc.ept Established Connections(广告)
$IPT -A INPUT -p ALL -i $ICNC_IFACE. .-m state --state ESTABLISHED,RELATED -j ACCEP.T[成人用品]
$IPT -A INPUT -p TCP -i $ICNC_IFA.CE -j tcp_inboun.d.
$.IPT .-A INPUT -p UDP -i $ICNC_IFACE -j udp_inbound             电子
$IPT -.A INPUT -p IC.MP -i $ICNC_IFACE -j icmp_packets.
$IPT -A INPUT -p ALL -i $ICTC_IFACE -m state -.-state ESTABLI.SHED.,RELATED -j ACCEPT    美容
$IPT -A INPUT -p TCP -i $ICTC._IFACE -j tcp_i.nbound健康
$IPT -A INPUT -p .UDP -i $ICTC_IFACE -j udp_.inbound.
$IPT -A INPUT -p. I.CMP -i $ICTC_IFACE -j icmp_packets健康
$I.PT -A INPUT -m. pkttype --pkt-type broadcast -j DROP            杀毒
$IPT -A INPUT -m limit --limit 3/mi.nute --.limit-bur.st 3 -j LOG --log-prefix "INPUT packet died: ".

########.#######.###############################.#################################           建材
# .FORWARD Chain域名

echo "Process FORWAR.D chain ...."学习

$IPT .-A FORWAR.D -p ALL -j bad_packets    健康
$IPT -A. FORWARD -p tcp -i $LOCAL_IFACE -j tcp_out.bound          婚庆
$IPT -A FORWARD -p udp -i $LOCAL_IFACE .-j .udp_outbound           建材
$IPT -A FORWARD -p .ALL -i $L.OCAL_IFACE -j ACCEPT.
$IPT -A FORWARD -p ALL -i $ICNC_IFA.CE  --d.est.ination 192.168.0.253 -j ACCEPT电影
$IPT -A FORWARD -p ALL -i $.ICTC_IFACE  --destination 192.168..0.253 -j. ACCEPT             汽车
$IPT -A FORW.ARD -i $ICNC_IFACE -m state --state ESTABLI.SHED,RELATED -j .ACCEPT           建材
$IPT -A FORWARD -i $ICTC_IFACE -.m state. --state ESTABLIS.HED,RELATED -j ACCEPT(        游戏          )
$IPT -A FORWARD .-m limit --limit 3/minute --limit-bur.st 3 -j LOG --log-prefix "FORWARD packet die.d: "          婚庆

#############################.###########################.##############.#########健康
# OUTPUT Chain

echo "Pro.cess OUTPUT chai.n ..."虚拟主机

$IPT -A OUTPUT -m state -p icmp --state INVALID -j. .DROP.
$IPT -A OUTPUT -p ALL -s $LO_.IP -j A.CCEPT虚拟主机
$IP.T -A O.UTPUT -p ALL -o $LO_IFACE -j ACCEPT虚拟主机
$IPT -A OUTPUT -p ALL -s $LO.CAL._IP -j ACCEPT    健康
$IPT -A OUTPUT -p ALL -o $LOCAL_IFACE -j ..ACCEPT(广告)
$IPT -A OUTPUT -p ALL -.o $ICNC_IFACE -j ACCE.PT.
$IP.T -A OUTPUT -p ALL -o $ICTC_IFACE -j A.CCEPT.
$IPT -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log.-prefix "OUTPUT. pac.ket died: "教育

###########.#############.############.###########################################           建材
# nat table

echo "Load .rules for nat ta.ble ..."服务器

####.###########################################.#########################.#######外贸
# PREROUT.ING chain    美容

# Port Forwardin.g           鲜花
$.IPT -t nat -A PREROUTING -p tcp -i $ICNC_IFACE --destinat.ion-port 3389.0 -j DNAT --to-destination 192.168.0.253:3389健康
$IPT -t nat -A PREROUTING -p tcp -i $ICNC_IFACE. -.-d.estination-port 2121 -j DNAT --to-destination 192.168.0.253:21健康
$.IPT -t nat -A PREROUTING -p tcp -i $ICNC_IFACE --dest.ination-port 9917 -j .DNAT --to-destination 192.168.0.253.
$IPT -t. nat -A PREROUTING -p tcp .-i $ICNC_IFACE --destination-port 9912 -j DNAT --to-.destination 192.168.0.253教育
$I.PT -t nat -A PREROUTING -p udp -i $I.CNC_IFACE --destination-port. 27015:27020 -j DNAT --to-destination 192.168.0.253.

$IPT .-t nat -A PREROUTING -p tcp -i $ICTC_IFACE -.-destination-port 33890 -j DNAT --to.-destination 192.168.0.253:3389           女人
$IPT -t nat -A PREROUTI.NG -p tcp -i $ICTC._IFACE .--destination-port 2121 -j DNAT --to-destination 192.168.0.253:21    外汇
$IPT -t nat -A PREROUTIN.G -p tcp -i. $ICTC_IFACE --d.estination-port 9917 -j DNAT --to-destination 192.168.0.253健康
$IP.T -t nat -A PREROUTING -p tcp -i $ICTC_IFACE --des.tination-port 9912 -j DNAT --to-.destination 192.168.0.253<性病>
$IPT -t nat -A .PREROUTING -p udp -i $I.CTC_IFACE --destination-port 27015:27.020 -j DNAT --to-destination 192.168.0.253电影

$IPT -t nat -A PREROUTING -p udp -i $LOCAL_IFACE --destination.-port 27015:27020 --de..st.ination $ICNC_ADDRESS -j DNAT --to-destination 192.168.0.253服务器
$.IPT -t nat -A PREROUTING -p ud.p -i $LOCAL_IFACE --destination-port 27015:27020 --destination $ICTC_ADDRESS -j DNAT. -.-to-destination 192.168.0.253投资
#$IPT -t nat -A PREROUTING .-p tcp -s 1.92.168.1.50 --destination-p.ort 80 -j RETURN          婚庆
#$IPT -t nat -A PREROUTING -p tcp.. -s 192.168.1.50 --d.estination-port 443 -j RETURN.
#$IPT -t nat -A PREROUTING -p tcp --destinati.on-port. 80. -j REDIRECT --to-ports 3128(广告)
#$I.PT -t nat -A .PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-ports .3128.

####################.###########.###################.#############################学习

$IPT -t nat -A POSTROUTING -o $ICNC_IFACE -j SNAT. --to-sour.ce $ICNC_ADDRESS学习
$IP.T -t nat -A POSTROUTING -o $ICTC_IFACE -j SNAT --to-source $IC.TC_ADDRESS             电子
$IPT -t nat -A POSTROUTING -o $LOCAL_IFACE -.j SNAT --to-source .$I.CNC_ADDRESS.
$IP.T -t nat -A POSTROUTING. -o $LOCAL_I.FACE -j SNAT --to-source $ICTC_ADDRESS    美容

echo "Load rules for mangle t.able ...".              乙肝

#. replace route--- 印刷
/et.c/esun/route.sh.

估计是.包过滤了 但是不知道怎么该这个脚本了！ .请高手帮下忙看看。--------------彩票
我有简单的防火墙测试了，正常，但是一运.行这个防火墙.就不行了 可郁闷了(广告)

怀疑和你的多路径负载均衡有关。

设置一个路由策略让CS服务器的数据只走一条出口链路。

谢谢楼上的支持
我感觉是防火墙策略哪地方有问题

我意思是在以上的脚本里 怎么设置对 192.168.0.253这个机器的所有端口上的数据不受防火墙的限制！
怎样解决~