首頁 > 其他

比較豐富的iptables配置樣本

來源:互聯網
上載者:User
創建阿里雲帳戶,並獲得超過 40 款產品的免費試用版;而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊!

環境:redhat9 載入了string time等模組,載入方法參照 http://bbs.chinaunix.net/forum/viewtopic.php?t=525493 

etho 接外網──ppp0 
eth1 接內網──192.168.0.0/24 

[color=blue] 
#!/bin/sh 

modprobe ipt_MASQUERADE 
modprobe ip_conntrack_ftp 
modprobe ip_nat_ftp 
iptables -F 
iptables -t nat -F 
iptables -X 
iptables -t nat -X 
###########################INPUT鍵################################### 
iptables -P INPUT DROP 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A INPUT -p tcp -m multiport --dports 110,80,25 -j ACCEPT 
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 139 -j ACCEPT 
#允許內網samba,smtp,pop3,串連 
iptables -A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT 
#允許dns串連 
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT 
iptables -A INPUT -p gre -j ACCEPT 
#允許外網vpn串連 
iptables -A INPUT -s 192.186.0.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A INPUT -i ppp0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP 
#為了防止DOS太多串連進來,那麼可以允許最多15個初始串連,超過的丟棄 
iptables -A INPUT -s 192.186.0.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP 
#為了防止DOS太多串連進來,那麼可以允許最多15個初始串連,超過的丟棄 
iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: " 
iptables -A INPUT -p icmp -j DROP 
#禁止icmp通訊-ping 不通 
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE 
#內網轉寄 
iptables -N syn-flood 
iptables -A INPUT -p tcp --syn -j syn-flood 
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN 
iptables -A syn-flood -j REJECT 
#防止SYN攻擊 輕量 
#######################FORWARD鏈########################### 
iptables -P FORWARD DROP 
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport --dports 80,110,21,25,1723 -j ACCEPT 
iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT 
iptables -A FORWARD -p gre -s 192.168.0.0/24 -j ACCEPT 
iptables -A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT 
#允許 vpn客戶走vpn網路連接外網 
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP 
#星期一到星期六的8:00-12:30禁止qq通訊 
iptables -I FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP 
#星期一到星期六的8:00-12:30禁止qq通訊 
iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP 
iptables -I FORWARD -p udp --dport 53 -m string --string "TENCENT" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP 
#星期一到星期六的13:30-20:30禁止QQ通訊 
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP 
#星期一到星期六的8:00-12:30禁止qq網頁 
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 13:00 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP 
#星期一到星期六的13:30-20:30禁止QQ網頁 
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "ay2000.net" -j DROP 
iptables -I FORWARD -d 192.168.0.0/24 -m string --string "寬頻影院" -j DROP 
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "色情" -j DROP 
iptables -I FORWARD -p tcp --sport 80 -m string --string "廣告" -j DROP 
#禁止ay2000.net,寬頻影院,色情,廣告網頁串連 !但中文 不是很理想 
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP 
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP 
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP 
#禁止BT串連 
iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 24 -j DROP 
#只允許每組ip同時15個80連接埠轉寄 
####################################################################### 
sysctl -w net.ipv4.ip_forward=1 &>;/dev/null 
#開啟轉寄 
####################################################################### 
sysctl -w net.ipv4.tcp_syncookies=1 &>;/dev/null 
#開啟 syncookie (輕量級預防 DOS 攻擊) 
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>;/dev/null 
#設定預設 TCP 串連癡呆時間長度為 3800 秒(此選項可以大大降低串連數) 
sysctl -w net.ipv4.ip_conntrack_max=300000 &>;/dev/null 
#設定支援最大串連樹為 30W(這個根據你的記憶體和 iptables 版本來,每個 connection 需要 300 多個位元組) 
####################################################################### 
iptables -I INPUT -s 192.168.0.50 -j ACCEPT 
iptables -I FORWARD -s 192.168.0.50 -j ACCEPT 
#192.168.0.50是我的機子,全部允許存取! 

############################完######################################### 


未仔細研讀,只取所需

轉自:http://www.chinaunix.net/old_jh/4/602090.html

ps:原文中的評論也比較精彩

本文章原先以中文撰寫並發佈於 aliyun.com,亦設英文版本,僅作資訊用途。本網站不對文章的準確性,完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴,請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡,一經驗證之後,即會刪除該侵權內容。

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

  • Sales Support

    1 on 1 presale consultation

    Chat Contact Sales

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    Open a Ticket

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

    Learn More