各位師兄, 小弟正在學ipt.ables.. 寫了一個小腳本, 請各位幫我看.看有什麼應該改動或者增加的呢?.
主要目.的是作 linux router.. 規則先是阻擋所有INPUT的連接, OUTPUT及FORWARD全開放, 不理會.<性病>
開啟 22, 25,. .80, 110 端口, 再 port forward 對應到 firewall 後的服務器. 美容
請各位指教.
謝.
#!/bin/sh
INTERNAL_INTERFACE.="eth1" 外汇
INTERNAL_IP="192...168.10.1/24"虚拟主机
EXTERNAL_INTE.RFACE="eth0"<性病>
EXTERNA.L_IP="192..168.1.10/24" 外汇
FILESRV=".192.168.10.2"服务器
WERS.RV="192.168.10.3" 婚庆
MAILSRV=".192.168.10.4" 女人
#------ Mo.dules ------服务器
mo.dprobe ip_tables外贸
modprobe. ip_nat_ftp 乙肝
modpr.obe ip_conntrack 鲜花
modprobe ip_c.onntrack_ftp 杀毒
echo "1" > /proc/s.ys/net/ipv4/ip_forw.ard 杀毒
#----.-- Clear Rules -.-----.
/sbin/iptab.les -X.
/sbin/iptabl.es -F(广告)
/sb.in/iptables -Z.
/sbin/ip.tables -t nat -X
/sb.in/iptables -t nat -F.
/sbin/.iptables -t nat -Z--- 印刷
#------ Initi.al. Rules ------.
/s.bin/ip.tables -P INPUT DROP电脑
/sbin/i.ptables -P OU.TPUT ACCEPT.
/sbin/iptables -P FORWARD. ACCEP.T学习
#/sbin/iptabl.es -t nat -P OUT.PUT ACCEPT--- 印刷
#/sbin/iptables -t n.at -P PREROUTING A.CCEPT(广告)
#/.sbin/iptables -t nat -P P.OSTROUTING ACCEPT(广告)
#/sbin/iptables -t mangle .-P PREROUTING ACCE.PT电影
#/s.bin/iptables -t mangle -P POS.TROUTING ACCEPT外贸
#/sbin/ipta.bles -t mangle -P INPUT .ACCEPT.
#/sb.in/iptabl.es -t mangle -P OUTPUT ACCEPT 婚庆
#/sbin/.iptables -t mang.le -P FORWARD ACCEPT
#/sbin/iptables -A INPUT -i eth1 -s $INTER.NAL_IP -j .ACCEPT 建材
/sbin/ip.tables -A INPUT -i $INTE.RNAL_INTERFACE -j ACCEPT 女人
/s.bin/iptab.les -A INPUT -i lo -j ACCEPT(广告)
#------ AC..CEPT PORT ------电脑
/sbin/iptables -I .INPUT -i $EXTERNAL_INTERFACE -.p tcp --dport 22 -j ACCEPT--------------彩票
/sbin/iptables -I INPUT .-i $EXTERN.AL_INTERFACE -p tcp --dport 25 -j ACCEPT服务器
/sbin/ipt.ables -I INPUT -i $EXTERNAL_INTERFACE -p tcp .--dport 80 -j ACCEPT健康
/sbin/iptables -I INPUT -i $.E.XTERNAL_INTERFACE -p tcp --dport 110 -j ACCEPT<性病>
#------. PORT Forwa.rd ------ 婚庆
# Web Server
/sbin/iptables -t nat -A PREROUTING .-i $EXTERNAL_INTERFACE -d $EXTERNAL._IP -p .tcp. --dport 80 -j DNAT --to-destination $WEBSRV:80.
# Mail Server
/sbin/.iptab.les -t nat. -A. PREROUTING -i $EXTERNAL_INTERFACE -d $EXTERNAL_IP -p tcp --dport 25 -j DNAT --to-destination $MAILSRV:25虚拟主机
/sbin/iptables -t nat -A PREROUTING -i $EXTERNAL_INTERFACE -d $EXTERNAL._IP -p t.cp --dport 110 -j .DNAT --to-desti.nation $MAILSRV:110.
#------ DROP R.ules ------.
/sbin/iptables -A .INPUT -i $EXTE.RNAL_INTERFACE -p icmp --icmp-typ.e echo-request -j DROP 婚庆
# NMAP F.IN/URG/PSH服务器
/sbin/iptables -A INPUT .-i $EXTERNAL_INTERFACE -p tcp .--tcp-flags .ALL FIN,URG,PSH -j DROP.
# Xmas Tree
/sbin/iptables -A INPUT -i $EXTERNAL_INTER.FACE .-p tcp. --tcp-flags ALL ALL -j DROP 汽车
# .Another Xmas Treee[成人用品]
/sbin/iptables -A. INPUT -i $EXTERNAL_INTERFACE -p tcp --tcp-flags ALL SYN,R.ST,ACK,.FIN,URG -j DROP 乙肝
# Null Scan
/sbin/iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp. -.-tcp-fla.gs ALL NONE -j DROP.
# SYN/RST
/sbin/iptables -A INPUT -i $EXTERNAL_INTERFACE -p tc.p --tcp-flags.. SYN,RST SYN,RST -j DROP.
/sbin/iptables -A INPUT -i $EXTERNAL_INTERFACE -p .tcp --tcp-fla.gs SYN,FIN SYN,FIN -j DR.OP教育
# SYN/FIN -- .Scan.
/sbin/iptabl.es -N s.ynfoold(广告)
/sbin/iptables -A synfoold -p tcp -.-syn .-m limit --limit 1/s -j RETURN服务器
/sbin/iptables -A synfoold -.p tcp -j REJECT. --reject-with tcp-reset电脑
/sbin/ip.tables -A INPUT -i $EXTERNAL_INTERFACE -p tcp -m state --state NEW -j synf.ool.d域名
# DROP active connec.tion服务器
/sbi.n/iptables -A INPUT -i $EXTERNAL_INTERFACE -m state --.state RELATED,ESTABLISHED. -j ACCEPT.
/sbin/iptables -A IN.PUT -i $EXTERNAL_IN.T.ERFACE -m state --state NEW,INVALID -j DROP电影
#------ NAT --.----
/sbin/iptable.s -t nat -A .POSTROUTING -s ${INTERNAL_IP} -o ${EXTERNAL_INTERFACE} -j .MASQUERADE.
复制代码
http://upload.bbs.csuboy.com/Mon_1004/126_6695_1e7b3089436d0d8.gif[/img]http://upload.bbs.csuboy.com/Mon_1004/126_6695_1e7b3089436d0d8.gif[/img].
