Chinaunix

标题: 评价一下小弟的IPTABLES设置！ [打印本页]

作者: cunsion 时间: 2008-07-22 16:10
标题: 评价一下小弟的IPTABLES设置！
#!/bin/sh

#定义变量
IPT="iptables"
LAN_NET="192.168.3.0/24"
TCP_DPORTS="80,21,25,110,443,1800,1810,8000,8080"
UDP_DPORTS="53,1800,1810,8000,8080"

#清空filter表的规则
$IPT -F

#定义FORWARD链的默认策略为DROP
$IPT -P FORWARD DROP

#允许已建立连接的数据包通过
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#允许内网发起dns请求
$IPT -A FORWARD -s $LAN_NET -p udp -m multiport --dports $UDP_DPORTS -j ACCEPT

#允许内网ping通外网
$IPT -A FORWARD -p icmp -s $LAN_NET -j ACCEPT
$IPT -A FORWARD -p icmp -d $LAN_NET -m state --state INVALID -j ACCEPT

#允许公司其他网段访问内网
$IPT -A FORWARD -s 192.168.0.0/19 -d 192.168.0.0/19 -j ACCEPT

#针对每个设计师开通必要的服务
while read loop1 loop2 loop3
do
$IPT -A FORWARD -p tcp -s $loop1 -m mac --mac-source $loop2 -m multiport --dports $TCP_DPORTS -j ACCEPT
done < /home/shell/adm-firewall/iplist.db

#$IPT -I FORWARD -s $LAN_NET -d 220.181.38.80 -j DROP

sh /home/shell/adm-firewall/special.sh

$IPT -I FORWARD -s 192.168.3.153 -j ACCEPT
$IPT -I FORWARD -s 192.168.3.169 -j ACCEPT
$IPT -I FORWARD -s 192.168.3.47 -p tcp --dport 81 -j ACCEPT
$IPT -I FORWARD -s 192.168.3.85 -j ACCEPT
$IPT -A FORWARD -s 192.168.3.191 -j ACCEPT
$IPT -I FORWARD -s 192.168.3.198 -j ACCEPT
#禁止访问视频网站
$IPT -I FORWARD -d 58.83.170.0/24 -j DROP #ku6
$IPT -I FORWARD -d 220.181.38.80 -j DROP
$IPT -I FORWARD -d 61.135.162.155 -j DROP
$IPT -I FORWARD -d 61.135.162.156 -j DROP
$IPT -I FORWARD -d 220.181.37.73 -j DROP
$IPT -I FORWARD -d 220.181.37.74 -j DROP
$IPT -I FORWARD -s 192.168.3.195 -j ACCEPT
$IPT -I FORWARD -d 192.168.3.195 -j ACCEPT
$IPT -I FORWARD -s 192.168.3.6 -p tcp -m multiport --dports 3389,81 -j ACCEPT

刚配置的IPTALBES请指教指点。

作者: ylcqen 时间: 2008-07-22 16:19
原创吗?你这台服务器是做NAT还是?

作者: cunsion 时间: 2008-07-22 16:23
代理服务器而已

原创的

作者: feiyueheu 时间: 2008-07-23 08:43
不错.学习中.现在在用BSD.

作者: 志国 时间: 2008-07-23 08:48
LZ很强！

作者: cuci 时间: 2008-07-23 09:00
iptables，不错的东东

作者: streetboy85 时间: 2008-07-23 09:08

不错...

作者: hahasasa 时间: 2008-07-23 09:17
#允许内网发起dns请求
$IPT -A FORWARD -s $LAN_NET -p udp -m multiport --dports $UDP_DPORTS -j ACCEPT

#为什么dns需要这么多UDP端口？

#针对每个设计师开通必要的服务
while read loop1 loop2 loop3
do
$IPT -A FORWARD -p tcp -s $loop1 -m mac --mac-source $loop2 -m multiport --dports $TCP_DPORTS -j ACCEPT
done < /home/shell/adm-firewall/iplist.db

#loop3干什么去了？怎么read进来了却不用？

#禁止访问视频网站
$IPT -I FORWARD -d 58.83.170.0/24 -j DROP #ku6
$IPT -I FORWARD -d 220.181.38.80 -j DROP
$IPT -I FORWARD -d 61.135.162.155 -j DROP
$IPT -I FORWARD -d 61.135.162.156 -j DROP
$IPT -I FORWARD -d 220.181.37.73 -j DROP
$IPT -I FORWARD -d 220.181.37.74 -j DROP
$IPT -I FORWARD -s 192.168.3.195 -j ACCEPT
$IPT -I FORWARD -d 192.168.3.195 -j ACCEPT
$IPT -I FORWARD -s 192.168.3.6 -p tcp -m multiport --dports 3389,81 -j ACCEPT

#这个就能禁止吗？

作者: jn200002 时间: 2008-07-23 09:19
比较深奥,没做过服务器...

作者: vermouth 时间: 2008-07-23 09:19
你的 loop1 loop2 loop3 都是些什么咚咚啊？
后面还有变量。

作者: gigabyte 时间: 2008-07-23 09:24
牛人，上次设个NAT弄死我了……

作者: cunsion 时间: 2008-07-24 13:43
有些东西是按自己需求来写的，所以你们拿过去用有时应该不是很符合你们的要求吧

作者: E-baby 时间: 2008-07-24 14:10
还给写注释，

很不错

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)