- 论坛徽章:
- 0
|
各位大虾,我是刚接触Linux的,我写了一个iptables脚本,能不能帮我看看有什么不妥,应该如何改正,在线等候指正,万分感谢
#!/bin/bash
echo "1">;/proc/sys/net/ipv4/ip_forward
INTERNET="eth0"
INTERNET_IP="211.138.246.126"
LOCAL="eht1"
LOCAL_IP="192.168.10.1"
LOCAL_IP_RANGE="192.168.0.0/16"
IPT="/sbin/iptables"
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
#清除规则
for TABLE in filter nat mangle ; do
$IPT -t $TABLE -F
$IPT -t $TABLE -X
done
#设置默认规则
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
#定义一个病毒过滤链,过滤一些病毒端口
$IPT -N VIRUS
$IPT -A VIRUS -p tcp --dport 134:139 -j DROP
$IPT -A VIRUS -p udp --dport 134:139 -j DROP
$IPT -A VIRUS -p tcp --dport 445 -j DROP
$IPT -A VIRUS -p udp --dport 445 -j DROP
$IPT -A VIRUS -p tcp --dport 1024:1030 -j DROP
$IPT -A VIRUS -p tcp --dport 1080 -j DROP
$IPT -A VIRUS -p tcp --dport 1214 -j DROP
$IPT -A VIRUS -p tcp --dport 1368 -j DROP
$IPT -A VIRUS -p tcp --dport 1377 -j DROP
$IPT -A VIRUS -p tcp --dport 1433,1434 -j DROP
$IPT -A VIRUS -p tcp --dport 2283 -j DROP
$IPT -A VIRUS -p tcp --dport 2535 -j DROP
$IPT -A VIRUS -p tcp --dport 2745 -j DROP
$IPT -A VIRUS -p tcp --dport 3127,3128 -j DROP
$IPT -A VIRUS -p tcp --dport 4444 -j DROP
$IPT -A VIRUS -p udp --dport 4444 -j DROP
$IPT -A VIRUS -p tcp --dport 5554 -j DROP
$IPT -A VIRUS -p tcp --dport 10000 -j DROP
$IPT -A VIRUS -p tcp --dport 10080 -j DROP
$IPT -A VIRUS -p tcp --dport 17300 -j DROP
$IPT -A VIRUS -p tcp --dport 27374 -j DROP
$IPT -A VIRUS -p tcp --dport 65506 -j DROP
$IPT -A INPUT --state INVALID -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -j VIRUS
$IPT -A INPUT -p udp -j ACCEPT
$IPT -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
$IPT -A INPUT -p icmp -j DROP
$IPT -A INPUT -p tcp -dport 22 -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -j VIRUS
$IPT -A FORWARD -p udp -j ACCEPT
$IPT -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
$IPT -A FORWARD -p icmp -j DROP
#设置nat使内网可上INTERNET
$IPT -t nat -A POSTROUTING -o $INTERNET -j SNAT --to $INTERNET_IP |
|