设为首页收藏本站

LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
LinuxSir.cn,穿越时空的Linuxsir!»论坛 Linux 发行版讨论区 —— LinuxSir.cn Archlinux讨论区 最近捣鼓iptables,抄个脚本回来,大家帮忙看看有什么不 ...
返回列表 发新帖
查看: 814|回复: 5

最近捣鼓iptables,抄个脚本回来,大家帮忙看看有什么不合理的地方没~~~

[复制链接]
发表于 2009-3-13 01:31:16 | 显示全部楼层 |阅读模式
  2. FW_IP="163.26.197.8"
  4. ###-----------------------------------------------------###
  5. # filter table
  6. ###-----------------------------------------------------###
  7. iptables -P INPUT DROP
  8. iptables -P OUTPUT DROP
  9. iptables -P FORWARD DROP
  11. iptables -A INPUT -i lo -j ACCEPT
  12. iptables -A OUTPUT -o lo -j ACCEPT
  14. iptables -A INPUT -i eth1 -j ACCEPT
  15. iptables -A OUTPUT -o eth1 -j ACCEPT
  16. iptables -A FORWARD -i eth1 -j ACCEPT
  17. iptables -A FORWARD -o eth1 -j ACCEPT
  20. ###-----------------------------------------------------###
  21. # snat
  22. ###-----------------------------------------------------###
  24. iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP
  27. ###-----------------------------------------------------###
  28. # telnet
  29. ###-----------------------------------------------------###
  31. iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT
  32. iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 23 -d $FW_IP --dport 1024:65535 -j ACCEPT
  35. ###-----------------------------------------------------###
  36. # smtp
  37. ###-----------------------------------------------------###
  39. iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT
  40. iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 25 -d $FW_IP --dport 1024:65525 -j ACCEPT
  43. ###-----------------------------------------------------###
  44. # pop3
  45. ###-----------------------------------------------------###
  47. iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT
  48. iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 110 -d $FW_IP --dport 1024:65535 -j ACCEPT
  51. ###-----------------------------------------------------###
  52. # http
  53. ###-----------------------------------------------------###
  55. iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT
  56. iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 80 -d $FW_IP --dport 1024:65535 -j ACCEPT
  59. ###-----------------------------------------------------###
  60. # https
  61. ###-----------------------------------------------------###
  63. iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 443 -j ACCEPT
  64. iptables -A INPUT -i eth0 -p udp -s any/0 --sport 443 -d $FW_IP --dport 1024:65535 -j ACCEPT
  66. iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 443 -j ACCEPT
  67. iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 443 -d $FW_IP --dport 1024:65535 -j ACCEPT
  70. ###-----------------------------------------------------###
  71. # dns
  72. ###-----------------------------------------------------###
  74. iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
  75. iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT
  77. iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
  78. iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT
  81. ###-----------------------------------------------------###
  82. # ssh
  83. ###-----------------------------------------------------###
  85. iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT
  86. iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1024:65535 -j ACCEPT
  88. iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT
  89. iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1020:1023 -j ACCEPT
  92. ###-----------------------------------------------------###
  93. # ftp
  94. ###-----------------------------------------------------###
  96. iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT
  97. iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 21 -d $FW_IP --dport 1024:65535 -j ACCEPT
  99. iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 20 -d $FW_IP --dport 1024:65535 -j ACCEPT
  100. iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT
  102. iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
  103. iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 1024:65535 -d $FW_IP --dport 1024:65535 -j ACCEPT
  106. ###-----------------------------------------------------###
  107. # ping
  108. ###-----------------------------------------------------###
  110. iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPT
  111. iptables -A INPUT -i eth0 -p icmp -s any/0 --icmp-type 0 -d $FW_IP -j ACCEPT
复制代码
回复

使用道具 举报

ebok
发表于 2009-3-13 11:08:02 | 显示全部楼层
连output链也限制,真够狠的。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2009-3-13 11:47:39 | 显示全部楼层
Post by ebok;1960275
连output链也限制,真够狠的。

没办法,外贼家贼都要防~~~
回复 支持 反对

使用道具 举报

latteye
发表于 2009-3-13 18:14:15 | 显示全部楼层
建议在 mangle 里面加上

-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
回复 支持 反对

使用道具 举报

 楼主| 发表于 2009-3-13 18:21:06 | 显示全部楼层
Post by latteye;1960433
建议在 mangle 里面加上

-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

能给讲讲是什么意思吗?
回复 支持 反对

使用道具 举报

huntxu
发表于 2009-3-13 19:41:36 | 显示全部楼层
看不懂,学习~
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表