当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 6 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 我写了一段 iptables 的脚本,大家帮着看看有什么问题?
帖子发表于 : 2008-12-10 17:20 

注册: 2008-05-29 20:48
帖子: 150
送出感谢: 0 次
接收感谢: 0 次
#!/bin/bash

iptables -t filter -F
iptables -t filter -X
# 清空 filter 表格

iptables -t nat -F
iptables -t nat -X
# 清空 nat 表格

iptables -t mangle -F
iptables -t mangle -X
# 清空 mangle 表格

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# 清除所有防火牆規則,並建立全部阻擋封包進入
# 設定 INPUT、OUTPUT、FORWARD 鏈預設的過濾原則
# 默認規則為丟棄封包。

iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -i eth1 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i eth1 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# 檔掉 scan port 的程式

iptables -A INPUT -i eth1 -s 192.168.100.0/24 -j DROP
# 因特網的禁止內網登錄
# eth1 介面,進入方向,來源 192.168.100.0/24,封包丟棄

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i ! lo -s 127.0.0.0/8 -j DROP
iptables -A OUTPUT -o ! lo -d 127.0.0.0/8 -j DROP
# 允許流經 lookback 介面的封包進出

iptables -A INPUT -i eth1 -p tcp -sport 80 -j ACCEPT
iptables -A OUTPUT -i eth1 -p tcp -dport 80 -j ACCEPT
# 允许浏览 HTTP (这两条哪一个对,还是都需要?)

iptables -A INPUT -i eth1 -p udp -sport 53 -j ACCEPT
iptables -A OUTPUT -i eth1 -p udp -dport 53 -j ACCEPT
# 允许 DNS (这两条哪一个对,还是都需要?)

iptables -A OUTPUT -i eth1 -p udp -sport 68 -dport 67 -j ACCEPT
# 允许 DHCP

iptables -A INPUT eth1 -p icmp --icmp-type 8 -j DROP
iptables -A OUTPUT eth1 -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT eth1 -p icmp --icmp-type 0 -j ACCEPT
# 對於 ping 要求的封包全部拒絕,不過對於自己發出去的 ping 封包要接受

iptables -A INPUT eth1 -p icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT eth1 -p icmp --icmp-type 3/3 -j ACCEPT
iptables -A INPUT eth1 -p icmp --icmp-type 3/4 -j ACCEPT
# 允许 p2p icmp type 0 reply 8 request 11 timeexceed 3/3 port Unreachable 3/4 #fragmentation needed and don't

iptables -A INPUT -i eth1 -p tcp i --dport 6881 -j ACCEPT
iptables -A INPUT -i eth1 -p udp i --dport 6881 -j ACCEPT
# p2p ports allow input

iptables -A INPUT -i eth1 -m state --state RELATED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
# 不正確的封包檔掉

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 對於自己所產生的連線,並且後續的要求封包都接受


页首
 用户资料  
 
2 楼 
 文章标题 : Re: 我写了一段 iptables 的脚本,大家帮着看看有什么问题?
帖子发表于 : 2008-12-10 17:46 
头像

注册: 2007-04-28 21:38
帖子: 1026
送出感谢: 0 次
接收感谢: 0 次
建议:
accept规则要放前面。
因为netfilter是按顺序匹配的,你吧drop的放前面,会造成大流量下系统性能降低的。。。。


_________________
thinkpad x61 2G DDR no cdrom
--------------------------------------------
ABS学习中
sed学习中
awk学习中
perl学习中
新手描述不清,老手猜测不到,胡乱指挥一通,后果难以预料


页首
 用户资料  
 
3 楼 
 文章标题 : Re: 我写了一段 iptables 的脚本,大家帮着看看有什么问题?
帖子发表于 : 2008-12-10 17:48 

注册: 2008-05-29 20:48
帖子: 150
送出感谢: 0 次
接收感谢: 0 次
谢谢指点。

ptables -A INPUT -i eth1 -p tcp -sport 80 -j ACCEPT
iptables -A OUTPUT -i eth1 -p tcp -dport 80 -j ACCEPT
# 允许浏览 HTTP (这两条哪一个对,还是都需要?)

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 對於自己所產生的連線,並且後續的要求封包都接受

这两条我还不太明白,对于一般浏览网页,是否 INPUT 和 OUTPUT 都需要设置?
最后一个是什么意思,什么叫自己产生的连线?


页首
 用户资料  
 
4 楼 
 文章标题 : Re: 我写了一段 iptables 的脚本,大家帮着看看有什么问题?
帖子发表于 : 2008-12-10 17:48 
头像

注册: 2007-04-28 21:38
帖子: 1026
送出感谢: 0 次
接收感谢: 0 次
可以把最后一条放到最前面
output链不需要设置规则,直接将policy设置成accept就行了


_________________
thinkpad x61 2G DDR no cdrom
--------------------------------------------
ABS学习中
sed学习中
awk学习中
perl学习中
新手描述不清,老手猜测不到,胡乱指挥一通,后果难以预料


页首
 用户资料  
 
5 楼 
 文章标题 : Re: 我写了一段 iptables 的脚本,大家帮着看看有什么问题?
帖子发表于 : 2008-12-10 17:55 

注册: 2008-05-29 20:48
帖子: 150
送出感谢: 0 次
接收感谢: 0 次
aitilang 写道:
可以把最后一条放到最前面
output链不需要设置规则,直接将policy设置成accept就行了


这样做的话会不会降低安全性?


页首
 用户资料  
 
6 楼 
 文章标题 : Re: 我写了一段 iptables 的脚本,大家帮着看看有什么问题?
帖子发表于 : 2008-12-10 19:52 
头像

注册: 2008-07-21 9:44
帖子: 2371
地址: 深圳
送出感谢: 0 次
接收感谢: 0 次
mark,留帖学习 :em11


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 6 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 4 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译