我写了一段 iptables 的脚本,大家帮着看看有什么问题?

包含网卡/无线网的网络问题和ADSL/校园网/宽带拨号支持及代理/共享等网络使用问题
回复
la ubuntu
帖子: 150
注册时间: 2008-05-29 20:48

我写了一段 iptables 的脚本,大家帮着看看有什么问题?

#1

帖子 la ubuntu » 2008-12-10 17:20

#!/bin/bash

iptables -t filter -F
iptables -t filter -X
# 清空 filter 表格

iptables -t nat -F
iptables -t nat -X
# 清空 nat 表格

iptables -t mangle -F
iptables -t mangle -X
# 清空 mangle 表格

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# 清除所有防火牆規則,並建立全部阻擋封包進入
# 設定 INPUT、OUTPUT、FORWARD 鏈預設的過濾原則
# 默認規則為丟棄封包。

iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -i eth1 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i eth1 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# 檔掉 scan port 的程式

iptables -A INPUT -i eth1 -s 192.168.100.0/24 -j DROP
# 因特網的禁止內網登錄
# eth1 介面,進入方向,來源 192.168.100.0/24,封包丟棄

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i ! lo -s 127.0.0.0/8 -j DROP
iptables -A OUTPUT -o ! lo -d 127.0.0.0/8 -j DROP
# 允許流經 lookback 介面的封包進出

iptables -A INPUT -i eth1 -p tcp -sport 80 -j ACCEPT
iptables -A OUTPUT -i eth1 -p tcp -dport 80 -j ACCEPT
# 允许浏览 HTTP (这两条哪一个对,还是都需要?)

iptables -A INPUT -i eth1 -p udp -sport 53 -j ACCEPT
iptables -A OUTPUT -i eth1 -p udp -dport 53 -j ACCEPT
# 允许 DNS (这两条哪一个对,还是都需要?)

iptables -A OUTPUT -i eth1 -p udp -sport 68 -dport 67 -j ACCEPT
# 允许 DHCP

iptables -A INPUT eth1 -p icmp --icmp-type 8 -j DROP
iptables -A OUTPUT eth1 -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT eth1 -p icmp --icmp-type 0 -j ACCEPT
# 對於 ping 要求的封包全部拒絕,不過對於自己發出去的 ping 封包要接受

iptables -A INPUT eth1 -p icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT eth1 -p icmp --icmp-type 3/3 -j ACCEPT
iptables -A INPUT eth1 -p icmp --icmp-type 3/4 -j ACCEPT
# 允许 p2p icmp type 0 reply 8 request 11 timeexceed 3/3 port Unreachable 3/4 #fragmentation needed and don't

iptables -A INPUT -i eth1 -p tcp i --dport 6881 -j ACCEPT
iptables -A INPUT -i eth1 -p udp i --dport 6881 -j ACCEPT
# p2p ports allow input

iptables -A INPUT -i eth1 -m state --state RELATED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
# 不正確的封包檔掉

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 對於自己所產生的連線,並且後續的要求封包都接受
头像
aitilang
帖子: 1026
注册时间: 2007-04-28 21:38

Re: 我写了一段 iptables 的脚本,大家帮着看看有什么问题?

#2

帖子 aitilang » 2008-12-10 17:46

建议:
accept规则要放前面。
因为netfilter是按顺序匹配的,你吧drop的放前面,会造成大流量下系统性能降低的。。。。
thinkpad x61 2G DDR no cdrom
--------------------------------------------
ABS学习中
sed学习中
awk学习中
perl学习中
新手描述不清,老手猜测不到,胡乱指挥一通,后果难以预料
la ubuntu
帖子: 150
注册时间: 2008-05-29 20:48

Re: 我写了一段 iptables 的脚本,大家帮着看看有什么问题?

#3

帖子 la ubuntu » 2008-12-10 17:48

谢谢指点。

ptables -A INPUT -i eth1 -p tcp -sport 80 -j ACCEPT
iptables -A OUTPUT -i eth1 -p tcp -dport 80 -j ACCEPT
# 允许浏览 HTTP (这两条哪一个对,还是都需要?)

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 對於自己所產生的連線,並且後續的要求封包都接受

这两条我还不太明白,对于一般浏览网页,是否 INPUT 和 OUTPUT 都需要设置?
最后一个是什么意思,什么叫自己产生的连线?
头像
aitilang
帖子: 1026
注册时间: 2007-04-28 21:38

Re: 我写了一段 iptables 的脚本,大家帮着看看有什么问题?

#4

帖子 aitilang » 2008-12-10 17:48

可以把最后一条放到最前面
output链不需要设置规则,直接将policy设置成accept就行了
thinkpad x61 2G DDR no cdrom
--------------------------------------------
ABS学习中
sed学习中
awk学习中
perl学习中
新手描述不清,老手猜测不到,胡乱指挥一通,后果难以预料
la ubuntu
帖子: 150
注册时间: 2008-05-29 20:48

Re: 我写了一段 iptables 的脚本,大家帮着看看有什么问题?

#5

帖子 la ubuntu » 2008-12-10 17:55

aitilang 写了:可以把最后一条放到最前面
output链不需要设置规则,直接将policy设置成accept就行了
这样做的话会不会降低安全性?
头像
Jarson
帖子: 2371
注册时间: 2008-07-21 9:44
来自: 深圳
联系:

Re: 我写了一段 iptables 的脚本,大家帮着看看有什么问题?

#6

帖子 Jarson » 2008-12-10 19:52

mark,留帖学习 :em11
回复