设为首页收藏本站

LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
LinuxSir.cn,穿越时空的Linuxsir!»论坛 运维技术 —— LinuxSir.cn 服务器架设、应用、维护 !!!急!!!大家帮我看一下这个关于IPTABLES的防火墙配置 ...
返回列表 发新帖
查看: 920|回复: 8

!!!急!!!大家帮我看一下这个关于IPTABLES的防火墙配置

[复制链接]
ydh976
发表于 2005-1-2 02:16:03 | 显示全部楼层 |阅读模式

  2. #本脚本环境为eth0外网,eth1内网;
  3. #!/bin/sh
  4. #外网网卡
  5. EXT_IF="eth0"
  6. FW_IP="XX.XX.XX.XX"
  7. #内网网卡
  8. INT_IF="eth1"
  9. LAN_IP="192.168.0.1"
  10. LAN_IP_RANGE="192.168.0.0/255.255.255.0"
  11. #加阅模块,一般已内建
  12. #Module loading.
  13. #echo "modprobe modules"
  14. #modprode ip_tables
  15. #modprode ip_nat_ftpiptables -P INPUT DROP
  16. iptables -P FORWARD DROP
  17. iptables -P OUTPUT DROP

  19. ###-----------------------------------------------------------------###
  20. #过虑蠕虫病毒
  21. #444/445/69/135/139
  22. ###-----------------------------------------------------------------###
  23. iptables -A FORWARD -p tcp --dport 4444 -j DROP
  24. iptables -A FORWARD -p udp --dport 4444 -j DROP

  26. iptables -A FORWARD -p tcp --dport 445 -j DROP
  27. iptables -A FORWARD -p udp --dport 445 -j DROP

  29. iptables -A FORWARD -p tcp --dport 69 -j DROP
  30. iptables -A FORWARD -p udp --dport 69 -j DROP

  32. iptables -A FORWARD -p tcp --dport 135 -j DROP
  33. iptables -A FORWARD -p udp --dport 135 -j DROP

  35. iptables -A FORWARD -p tcp --dport 139 -j DROP
  36. iptables -A FORWARD -p udp --dport 139 -j DROP


  39. #允许ping localhost,ping 192.168.0.1/2
  40. #allow loopback access
  41. iptables -A INPUT -p icmp -i lo -j ACCEPT
  42. iptables -A OUTPUT -p icmp -o lo -j ACCEPT
  43. #打开内对内连接
  44. #iptables -A INPUT -i lo -j ACCEPT
  45. #允许代理和内网客户机相互传输数据(包括ping)
  46. #allow ping LAN
  47. iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT
  48. iptables -A OUTPUT -p ALL -o $INT_IF -d $LAN_IP_RANGE -j ACCEPT
  49. #允许外网的网卡与内网相互通讯.接受数据只接受响应封包,否则不予放行.发送数据没有限制.
  50. iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT
  51. iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT
  52. #拒绝外部使用内网进行欺骗
  53. #deny local cheat
  54. iptables -A INPUT -i $EXT_IF -s 192.168.0.0/16 -j DROP
  55. iptables -A INPUT -i $EXT_IF -s 10.0.0.0/8 -j DROP
  56. iptables -A INPUT -i $EXT_IF -s 172.16.0.0/12 -j DROP
  57. iptables -A INPUT -i $EXT_IF -s 127.0.0.0/8 -j DROP
  58. #从LAN进入防火墙主机的dhcp封包,不于放行,只有防火墙担任DHCP时才放行
  59. #deny DHCP_packets from LAN
  60. iptables -A INPUT -p udp -i $INT_IF --dport 67 --sport 68 -j DROP
  61. ###-----------------------------------------------------------------------------------###
  62. #配置向外方向的TCP规则,其中,--state ESTABLISHED ,NEW参数指定要检查哪个状态.
  63. #ESTABLISHED标志匹配属于已有的TCP连接的封包.
  64. #NEW标志指定试图创建一条新的TCP连接的第一个封包,这条规则指明属于新建的和已建立的
  65. #TCP连接的封包将会通过eth0端口向外发送.
  66. ###-----------------------------------------------------------------------------------###

  68. iptables -A OUTPUT -o $EXT_IF -p tcp -m state --state ESTABLISHED,NEW -j ACCEPT

  70. ###----------------------------------------------------------------------------------###
  71. #配置封包从一个端口转发到另一个端口
  72. ###----------------------------------------------------------------------------------###

  74. iptables -A FORWARD -i $INT_IF   -j ACCEPT
  75. # same to above 和上面的规则功能相同
  76. #iptables -A FORWARD -i $EXT_IF -m state --state ESTABLISHED,RELATED  -j ACCEPT

  78. ###-------------------------------------------------------------------------------------###
  79. #检查到达外部网络接口的封包状态.属于已有TCP连接的封包都允许通过
  80. # 从WAN到LAN的封包仅放行回应封包
  81. ###-------------------------------------------------------------------------------------###
  82. iptables -A INPUT -i $EXT_IF -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT


  85. # 限制过滤规则的比对频率为每分钟平均流量三个封包(超过上限的封包将暂停比对),
  86. #并将瞬间流量设定为一次最多处理三个封包(超过上限的封包将丢弃不予处理),
  87. #这类封包通常是黑客用来进行阻断式攻击
  88. iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level INFO --log-prefix "IPT INPUT packets died:"

  90. ###-------------------------------------------------------------------------###
  91. #不管来自哪里的ip碎片都进行控制,允许每秒通过100个碎片
  92. ###-------------------------------------------------------------------------###
  93. iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

  95. ###-------------------------------------------------------------------------###
  96. #icmp包通过的控制,防止icmp黑客攻击
  97. ###-------------------------------------------------------------------------###
  98. iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

  100. ###-------------------------------------------------------------------------###
  101. # 防止DDOS
  102. ###-------------------------------------------------------------------------###
  103. #iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

  105. ###-------------------------------------------------------------------------###
  106. # UDP包一律放行
  107. # allow UDP
  108. ###-------------------------------------------------------------------------###
  109. iptables -A FORWARD -p udp -d $LAN_IP_RANGE -i $EXT_IF -j ACCEPT

  111. ###-------------------------------------------------------------------------###
  112. #根据mac屏蔽主机上网
  113. ###-------------------------------------------------------------------------###
  114. #iptables -t nat -I PREROUTING -m mac --mac-source 4C:00:10:D8:57:F3 -j DROP

  116. #modprode ip_conntrack
  117. #modprobe ip_conntrack_ftp
  118. #启用转发(forward)功能
  119. echo "enabling IP FORWARDING......"
  120. echo "1" > /proc/sys/net/ipv4/ip_forward
  121. #规则初始化,设置默认都为drop
  122. echo "enabling iptables rules"
  123. #reset the default policies in the tables
  124. iptables -F
  125. iptables -X
  126. iptables -F -t mangle
  127. iptables -X -t mangle
  128. iptables -F -t nat
  129. iptables -X -t nat
  130. iptables -Z -t nat
  131. #set policies

  133. ###-----------------------------------------------------###
  134. # 开放内部主机可以telnet至外部主 telnet port 23
  135. ###-----------------------------------------------------###
  136. #没必要打开23端口
  137. #iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT
  138. #iptables -A INPUT  -i $EXT_IF -p tcp ! --syn -s any/0 --sport 23 -d $FW_IP --dport 1024:65535 -j ACCEPT

  140. ###-----------------------------------------------------###
  141. # 开放邮包转送通道 open SMTP port 25
  142. ###-----------------------------------------------------###

  144. #以下是别人可以送信给你
  145. iptables -A INPUT  -i $EXT_IF -p tcp -s any/0 --sport 1024:65535 -d $FW_IP --dport 25 -j ACCEPT
  146. iptables -A OUTPUT -o $EXT_IF -p tcp ! --syn -s $FW_IP --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT

  148. #以下是你可以送信给别人
  149. iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT
  150. iptables -A INPUT  -i $EXT_IF -p tcp ! --syn -s any/0 --sport 25 -d $FW_IP --dport 1024:65525 -j ACCEPT

  152. ###-----------------------------------------------------###
  153. # 开放对外离线下载信件的通道 POP3 port 110
  154. ###-----------------------------------------------------###

  156. iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT
  157. iptables -A INPUT  -i $EXT_IF -p tcp ! --syn -s any/0 --sport 110 -d $FW_IP --dport 1024:65535 -j ACCEPT

  159. ###-----------------------------------------------------###
  160. # 开放浏览网页的通道 http port 80
  161. ###-----------------------------------------------------###

  163. iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT
  164. iptables -A INPUT  -i $EXT_IF -p tcp ! --syn -s any/0 --sport 80 -d $FW_IP --dport 1024:65535 -j ACCEPT

  166. ###-----------------------------------------------------###
  167. # 开放查询外部网络的DNS主机 DNS port:53
  168. ###-----------------------------------------------------###

  170. #第一次会用udp封包来查询
  171. iptables -A OUTPUT -o $EXT_IF -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
  172. iptables -A INPUT  -i $EXT_IF -p udp -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

  174. #若有错误,会改用tcp包来查询
  175. iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
  176. iptables -A INPUT  -i $EXT_IF -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT
  177. #开放这台主机上的DNS和外部的DNS主机互动查询:使用udp
  178. iptables -A OUTPUT -o $EXT_IF -p udp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT
  179. iptables -A INPUT  -i $EXT_IF -p udp -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT
  180. #开放这台主机上的DNS和外部的DNS主机互动查询:使用udp
  181. iptables -A OUTPUT -o EXT_IF -p tcp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT
  182. iptables -A INPUT  -i EXT_IF -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT

  184. ###------------------------------------------------------------------------###
  185. #开放内部主机可以SSH至外部的主机 SSH port:22
  186. ###------------------------------------------------------------------------###

  188. iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT
  189. iptables -A INPUT  -i $EXT_IF -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1024:65535 -j ACCEPT

  191. #以下是SSH protocol比较不同的地方
  192. iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT
  193. iptables -A INPUT  -i $EXT_IF -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1020:1023 -j ACCEPT

  195. ###------------------------------------------------------------------------###
  196. ###开放内部网络,可以ftp至外部主机
  197. ###------------------------------------------------------------------------###

  199. #以下是打开命令 channel 21
  200. iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT
  201. iptables -A INPUT  -i $EXT_IF -p tcp ! --syn  -s any/0 --sport 21 -d $FW_IP  --dport 1024:65535 -j ACCEPT

  203. #以下是打开资料 channel 20
  204. iptables -A INPUT -i $EXT_IF -p tcp -s any/0  --sport 20 -d $FW_IP  --dport 1024:65535  -j ACCEPT
  205. iptables -A OUTPUT -o $EXT_IF -p tcp ! --syn -s $FW_IP --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT

  207. #以下是打开 passive mode FTP 资料通道
  208. iptables -A OUTPUT -o $EXT_IF -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
  209. iptables -A INPUT  -i $EXT_IF -p tcp ! --syn -s any/0 --sport 1024:65535 -d $FW_IP --dport 1024:65535 -j ACCEPT

  211. #-------------------------------------NAT------------------------------------------------
  212. #透明代理设定:将WWW服务转向squid
  213. iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
  214. ###-------------------------------------------------------------------------###
  215. #启动内部对外部转址:源网络地址转换SNAT
  216. ###-------------------------------------------------------------------------###

  218. iptables -t nat -A POSTROUTING -o $EXT_IF -s $LAN_IP_RANGE  -j SNAT --to $FW_IP

  220. ###-------------------------------------------------------------------------###
  221. #启动外部对内部转址(设置内网WWWW服务器映射)DNAT
  222. ###-------------------------------------------------------------------------###

  224. iptables -t nat -A PREROUTING  -i $EXT_IF -p tcp -d $FW_IP --dport 80  -j DNAT --to 192.168.0.16:80
复制代码
回复

使用道具 举报

faint
发表于 2005-1-2 06:30:31 | 显示全部楼层
你想要说明什么啊?
回复 支持 反对

使用道具 举报

Yuri
发表于 2005-1-2 12:09:01 | 显示全部楼层
iptables -A FORWARD -p tcp --dport 4444 -j DROP
iptables -t filter -A FORWARD -p tcp --dport 444 -j DROP
下次记住了要加-t filter

不过你的脚本还是有几个值得借鉴的地方我就是把蠕虫那段加到我的防火墙里边了,
做事要细心一点
回复 支持 反对

使用道具 举报

ydh976
 楼主| 发表于 2005-1-4 09:58:12 | 显示全部楼层
不用加-t filter可以 应该默认的就是filter就可以了
回复 支持 反对

使用道具 举报

Yuri
发表于 2005-1-4 10:19:46 | 显示全部楼层
你加上试一下
回复 支持 反对

使用道具 举报

faint
发表于 2005-1-4 10:53:50 | 显示全部楼层
默认的,加不加都没有关系啊?
回复 支持 反对

使用道具 举报

mayazhao
发表于 2005-1-4 16:55:08 | 显示全部楼层
写的真的很不错呀!
学习中。。。。。。。。。。
回复 支持 反对

使用道具 举报

twodog29
发表于 2005-1-5 09:39:10 | 显示全部楼层
写得真好,可读性也很好
回复 支持 反对

使用道具 举报

z1979
发表于 2005-1-5 10:19:07 | 显示全部楼层
#允许代理和内网客户机相互传输数据(包括ping)
#allow ping LAN
iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT
iptables -A OUTPUT -p ALL -o $INT_IF -d $LAN_IP_RANGE -j ACCEPT
#允许外网的网卡与内网相互通讯.接受数据只接受响应封包,否则不予放行.发送数据没有限制.
iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT
iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT

  iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT
是不是多余了????
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表