- 论坛徽章:
- 0
|
#!/bin/sh
#定义变量
IPT="iptables"
LAN_NET="192.168.3.0/24"
TCP_DPORTS="80,21,25,110,443,1800,1810,8000,8080"
UDP_DPORTS="53,1800,1810,8000,8080"
#清空filter表的规则
$IPT -F
#定义FORWARD链的默认策略为DROP
$IPT -P FORWARD DROP
#允许已建立连接的数据包通过
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许内网发起dns请求
$IPT -A FORWARD -s $LAN_NET -p udp -m multiport --dports $UDP_DPORTS -j ACCEPT
#允许内网ping通外网
$IPT -A FORWARD -p icmp -s $LAN_NET -j ACCEPT
$IPT -A FORWARD -p icmp -d $LAN_NET -m state --state INVALID -j ACCEPT
#允许公司其他网段访问内网
$IPT -A FORWARD -s 192.168.0.0/19 -d 192.168.0.0/19 -j ACCEPT
#针对每个设计师开通必要的服务
while read loop1 loop2 loop3
do
$IPT -A FORWARD -p tcp -s $loop1 -m mac --mac-source $loop2 -m multiport --dports $TCP_DPORTS -j ACCEPT
done < /home/shell/adm-firewall/iplist.db
#$IPT -I FORWARD -s $LAN_NET -d 220.181.38.80 -j DROP
sh /home/shell/adm-firewall/special.sh
$IPT -I FORWARD -s 192.168.3.153 -j ACCEPT
$IPT -I FORWARD -s 192.168.3.169 -j ACCEPT
$IPT -I FORWARD -s 192.168.3.47 -p tcp --dport 81 -j ACCEPT
$IPT -I FORWARD -s 192.168.3.85 -j ACCEPT
$IPT -A FORWARD -s 192.168.3.191 -j ACCEPT
$IPT -I FORWARD -s 192.168.3.198 -j ACCEPT
#禁止访问视频网站
$IPT -I FORWARD -d 58.83.170.0/24 -j DROP #ku6
$IPT -I FORWARD -d 220.181.38.80 -j DROP
$IPT -I FORWARD -d 61.135.162.155 -j DROP
$IPT -I FORWARD -d 61.135.162.156 -j DROP
$IPT -I FORWARD -d 220.181.37.73 -j DROP
$IPT -I FORWARD -d 220.181.37.74 -j DROP
$IPT -I FORWARD -s 192.168.3.195 -j ACCEPT
$IPT -I FORWARD -d 192.168.3.195 -j ACCEPT
$IPT -I FORWARD -s 192.168.3.6 -p tcp -m multiport --dports 3389,81 -j ACCEPT
刚配置的IPTALBES请指教指点。 |
|