- 论坛徽章:
- 0
|
原帖由 蓝火人 于 2008-3-21 18:00 发表 ![]()
我试了几次,只要把这句注销掉,就不会出现冲突
可是一旦启用这句,冲突就发生了
不好意思,真的不是这句,我又做了测试
下面是我的规则,您给看看
#!/bin/sh
echo "Enabling IP Forwarding..."
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#刷新nat规则
echo "Starting iptables rules..."
/sbin/iptables -F -t nat
#刷新iptables规则
/sbin/iptables -F
#加载相关的内核模块
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
# 清除预设表 filter 中,所有规则链中的规则
/sbin/iptables -F
# 清除nat表中,所有规则链中的规则
/sbin/iptables -F -t nat
# 清除预设表 filter 中,使用者自订链中的规则
/sbin/iptables -X
#进行端口转发,如果不写第一句,则代理不起作用
#iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
#这一句只针对192.168.0.0/24这个网段 -m 则是针对anywhere
#iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/22 -j SNAT --to-source 213.258.25.14
#iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares --pp --xunlei -j DROP
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to-source 219.239.105.62
#封闭端口
#iptables -I FORWARD -p tcp -s 0/0 -d 0/0 --dport 15000:23068 -j DROP
#iptables -I OUTPUT -p tcp -s 0/0 -d 0/0 --sport 15000:23068 -j DROP
#iptables -I FORWARD -p tcp -s 0/0 -d 0/0 --dport 23070: -j DROP
#iptables -I OUTPUT -p tcp -s 0/0 -d 0/0 --sport 23070: -j DROP
#iptables -I FORWARD -p udp -s 0/0 -d 0/0 --dport 15000:23068 -j DROP
#iptables -I OUTPUT -p udp -s 0/0 -d 0/0 --sport 15000:23068 -j DROP
#iptables -I FORWARD -p udp -s 0/0 -d 0/0 --dport 23070: -j DROP
#iptables -I OUTPUT -p udp -s 0/0 -d 0/0 --sport 23070: -j DROP
#加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
#modprobe ip_nat_ftp
#加载ip_conntrack_ftp模块
#modprobe ip_conntrack_ftp
# 防止SYN攻击 轻量
#iptables -N syn-flood
#iptables -A INPUT -p tcp --syn -j syn-flood
#iptables -A syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
#iptables -A syn-flood -j REJECT
# 对于不管来自哪里的ip碎片都进行控制,允许每秒通过100个碎片
#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
# icmp包通过的控制,防止icmp黑客攻击
#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
#drop QQLive(禁止QQLive)
#iptables -I FORWARD -p udp --dport 13000: -j DROP
#iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 1/h --burst 10 -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type 8 -j DROP
#iptables -I INPUT -p tcp --dport 22 -j DROP |
|