呵呵，看到一个比较有意思的iptables脚本

faint · 发表于 2004-6-9 23:11:11

#!/bin/sh
#
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# all filter ACCEPT

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# all NAT DROP

iptables -t nat -P PREROUTING DROP
iptables -t nat -P OUTPUT DROP
iptables -t nat -P POSTROUTING DROP

#all mangle DROP

iptables -t mangle -P PREROUTING DROP
iptables -t mangle -P INPUT DROP
iptables -t mangle -P FORWARD DROP
iptables -t mangle -P OUTPUT DROP
iptables -t mangle -P POSTROUTING DROP

# gestion kernel - version secure !
echo 0 > /proc/sys/net/ipv4/ip_forward

for filter in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filter
done

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# END
看样子是是比较合适单网卡的朋友

smile787 · 发表于 2004-6-10 13:01:05

计算机安全领域，最明智的是拦截所以的东西，然后对需要的开启。。。

兄弟对已有的的和将有的连接都丢弃，只放行一个

faint · 发表于 2004-6-10 13:53:12

呵呵。我写的 Default Policies 都是DROP的。然后要什么就开什么:-)

smile787 · 发表于 2004-6-10 14:51:39

果然够安全,不过你应该不用linux来做的吧.....

faint · 发表于 2004-6-10 16:16:30

不用linux用什么哦。以前用过Mandrake linux ,现在用Debian。有机会熟悉下FreeBSD。。

smile787 · 发表于 2004-6-10 17:24:22

我是用freebsd来做的。。。效率很高。。。

有机会试下吧。。。。

faint · 发表于 2004-6-10 18:04:43

嗯，听说了，对其IPFW2部分比较感兴趣，感觉上比netfilter/iptables简单。对了,请问其升级机制方便么？像不像Debian有apt那么方便，还有那么多的源？

smile787 · 发表于 2004-6-10 18:24:05

很方便，和debian一样，不过源的更新就麻烦些。。。。不象debian那样用apt-get update就可以。。。。。

整体性能很爽，稳定啊。。。。。。

		自动登录	找回密码
密码			注册

呵呵，看到一个比较有意思的iptables脚本

浏览过的版块