分享java带来的快乐

我喜欢java新东西

iptables

(转)这个iptables脚本用起来很不错!和大家一起分享

我想下面的脚本很容易看懂!当然 如果没看懂提出来,我很乐意解答!当然,也很希 望 你们可以指出错误 !很感谢大家的指导 ,特别是platinum!

环境:redhat9 加载了string time等模块,加载方法参照 http://www.lslnet.com/linux/#forum/viewtopic.php?t=525493

etho 接外网──ppp0
eth1 接内网──192.168.0.0/24

[color=blue]
################################################################
#!/bin/sh
#
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe  ip_nat_ftp
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X

###########################INPUT键###################################
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.186.0.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃.
iptables -A INPUT -s 192.186.0.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃.
iptables -A INPUT -i eth1 -p tcp -m multiport --dports 443,139,80,21,110,25 -j ACCEPT
#允许内网samba,http,smtp,pop3,连接
iptables -A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT
#允许dns连接
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
#允许风外网vpn连接
iptables -A INPUT -i ppp0 -p tcp -m multiport --dports 110,80,25 -j ACCEPT
#允许外网smtp,http,pop3连接
iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
iptables -A INPUT -p icmp -j DROP
#禁止icmp通信-ping 不通
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
#内网转发

#######################FORWARD链###########################
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport --dports 80,110,21,25,1723 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.50  --dport 22 -j ACCEPT
#允许转发192.168.0.50的ssh连接!这个链我一直不是很明白,请朋友指教!
iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p gre -s 192.168.0.0/24 -j ACCEPT
#允许 vpn客户走vpn网络连接外网
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的8:00-12:30禁止qq通信
iptables -A FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的8:00-12:30禁止qq通信
iptables -A FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
iptables -A FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的13:30-20:30禁止QQ通信
iptables -A FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的8:00-12:30禁止qq网页
iptables -A FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 13;30 --timestop 20;30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
#星期一到星期六的13:30-20:30禁止QQ网页
iptables -A FORWARD -s 192.168.0.0/24 -m string --string "ay2000.net" -j DROP
iptables -A FORWARD -d 192.168.0.0/24 -m string --string "宽频影院" -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -m string --string "色情" -j DROP
iptables -A FORWARD -p tcp --sport 80 -m string --string "广告" -j DROP
#禁止ay2000.net,宽频影院,色情,广告网页连接 !但中文 不是很理想
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#禁止BT连接
iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
#只允许每组ip同时20个80端口转发
#######################################################################
sysctl -w net.ipv4.ip_forward=1 &>;/dev/null
#打开转发
#######################################################################
sysctl -w net.ipv4.tcp_syncookies=1 &>;/dev/null
#打开 syncookie (轻量级预防 DOS 攻击)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3600 &>;/dev/null
#设置默认 TCP 连接痴呆时长为 3600 秒(此选项可以大大降低连接数)
sysctl -w net.ipv4.ip_conntrack_max=500000 &>;/dev/null
#设置支持最大连接树为 50W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节)
#######################################################################
iptables -I INPUT -s 192.168.0.50 -j ACCEPT
iptables -I FORWARD -s 192.168.0.50 -j ACCEPT
#192.168.0.50是我的机子,全部放行!
############################完#########################################
[/color]

(转)这个iptables脚本用起来很不错!和大家一起分享

凸凸
顶你一下……
^^

(转)这个iptables脚本用起来很不错!和大家一起分享

禁止qq 通信中的前几条规则似乎没什么用,你禁止了53的域名查询,但是人家可以在hosts文件里手工添加。
最后过滤qq.com 那条没看懂。

(转)这个iptables脚本用起来很不错!和大家一起分享

-->

客户机是win ,呵呵,他们的计算机水平不是很高,目前来说在我使用的禁qq中效果是最好的!也是最不占资源的!


过滤qq的网页?这个是time模块!不知道你是脚本没看懂还是怀疑 脚本有问题?

(转)这个iptables脚本用起来很不错!和大家一起分享

(转)这个iptables脚本用起来很不错!和大家一起分享

-->
windows也有hosts文件呀。
我没看懂过滤qq.com有什么用?难道qq通讯协议里面有这个字符串?

(转)这个iptables脚本用起来很不错!和大家一起分享

是啊,这样的很好。。。
凡是想禁用的QQ之类的。。
就这样搞定了。。

(转)这个iptables脚本用起来很不错!和大家一起分享

我想用iptables做防火墙,我只要达到下面功能:

对外网(internet)只开放22/8080两个端口
对内网192.168.1.0/24,开放22和8080两个端口
对内网192.168.1.11这台机器, 开放samba这个端口和postgreSQL数据库的5432端口.
内网所有机器不能通过这台机器连接外网.

DNS服务器192.168.1.253

再加些简单的防止Dos攻击的功能,流量限制等

搞了半天都没有搞懂
(系统CentOS 4,
网卡 ech0,ech1,其中ech0连接internt,ech1连接内网)

更据上面的提示,我写了下,请各位指正,谢谢先:)
================================
#!/bin/bash

  [b]echo "starting firewall..."[/b]  
# iptables command full path
  [b]IPT=/sbin/iptables[/b]
# the interface that connect Internet
[b]  EXTIF="eth0"[/b]
# the inside interface
[b]  INIF="eth1" [/b]
# this is for NAT's network
[b] INNET="192.168.1.0/24" [/b]

# import the current models
[b]  PATH=/sbin:/bin:/usr/sbin:/usr/bin
  export PATH EXTIF INIF INNET
  modprobe ip_tables                  >; /dev/null 2>;&1
  modprobe iptable_nat               >; /dev/null 2>;&1
  modprobe ipt_MASQUERADE   >; /dev/null 2>;&1[/b]
  
# clear all of the previous firewall rules
[b]  $IPT -F
  $IPT -X
  $IPT -F -t nat
  $IPT -X -t nat

  $IPT -P INPUT                          DROP
  $IPT -P OUTPUT                      ACCEPT
  $IPT -P FORWARD                  DROP
  $IPT -t nat -P PREROUTING    ACCEPT
  $IPT -t nat -P POSTROUTING  ACCEPT
  $IPT -t nat -P OUTPUT             ACCEPT [/b]

# 为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃.
[b]  $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  $IPT -A INPUT -s $INNET -p TCP --syn -m connlimit --connlimit-above 15 -j DROP
  $IPT -A INPUT -s $INNET -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
  $IPT -A INPUT -i $EXTIF  -p TCP --syn -m connlimit --connlimit-above 15 -j DROP [/b]

# 允许内网ssh,samba,postgresql,http连接
[b]  $IPT -A INPUT -i $INIF -p tcp -m multiport --dports 22,8080 -j ACCEPT[/b]

# 对192.168.0.11 开放PostgreSQL和Samba
[b]  $IPT -A INPUT -i $INIF -p tcp -m multiport  -s 192.168.0.11 --dports 139,5432 -j ACCEPT[/b]

# 允许外网ssh,http连接
[b]  $IPT -A INPUT -i $EXTIF -p tcp -m multiport --dports 22,8080 -j ACCEPT[/b]

# 禁止icmp通信-ping 不通, 在哪儿可以看日志????
  [b]$IPT -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
  $IPT -A INPUT -p icmp -j DROP  [/b]

# 打开 syncookie (轻量级预防 DOS 攻击)
[b] sysctl -w net.ipv4.tcp_syncookies=1 &>;/dev/null [/b]

# 设置默认 TCP 连接痴呆时长为 3600 秒(此选项可以大大降低连接数)
[b]  sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3600 &>;/dev/null  [/b]

# 设置支持最大连接树为 50W(iptables v1.2.11)
  [b]sysctl -w net.ipv4.ip_conntrack_max=500000 &>;/dev/null

  $IPT -A INPUT -i lo    -j ACCEPT
  echo "1" >; /proc/sys/net/ipv4/ip_forward
  $IPT -t nat -A POSTROUTING -s $INNET -o $EXTIF -j MASQUERADE[/b]

(转)这个iptables脚本用起来很不错!和大家一起分享

(转)这个iptables脚本用起来很不错!和大家一起分享

To 枫影谁用了,
我也不知道要加载什么模块,你能不能更据我的要求,修改下我的shell?

(转)这个iptables脚本用起来很不错!和大家一起分享

-->


牛比吹大了,我用layer7,封qq比你简单多了。
另,这样照样封不住通过外网http/socks代理登录qq的情况。

(转)这个iptables脚本用起来很不错!和大家一起分享

-->

老兄,你给我介绍 介绍layer7,我也学习学习!谢谢

posted on 2007-08-03 11:31 强强 阅读(451) 评论(0)  编辑  收藏 所属分类: linux 操作系统配置


只有注册用户登录后才能发表评论。
网站导航: