- 论坛徽章:
- 0
|
一个校园宿舍网,大概有800台左右的客户端,客户端有很多感染震荡波、冲击波等病毒的机器。用一台P42.8/512/内存的机器安装RH9,做NAT,做MAC地址绑定,并封掉了已知的病毒攻击的端口,像135-139,445,4444等,还屏掉了ICMP包。
目前有很多客户端上不了网或上网速度很慢,RH9还会经常出现死机状况。请问大家有什么办法能够解决这800台机器稳定上网的问题?代理服务器应当如何修改,或是有什么其它的软硬件解决方案,请赐教。
附防火墙脚本
echo 1 >; /proc/sys/net/ipv4/ip_forward
echo 0 >; /proc/sys/net/ipv4/icmp_echo_ignore_all
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -F INPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -t nat -F
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j SNAT --to x.x.x.x
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
#/sbin/iptables -A FORWARD -p tcp -d 0.0.0.0/24 --dport smtp -i eth0 -j REJECT
#iptables -t filter -A INPUT -j REJECT -p tcp --dport smtp
#iptables -t filter -A OUTPUT -j REJECT -p tcp --dport smtp
iptables -A FORWARD -p tcp --dport 3300 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 3550 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5500 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7100 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5100 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7200 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 16300 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 16301 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 16302 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 6000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5600 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 4900 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 10000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 44405 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55557 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 44400 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55960 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55902 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55962 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55970 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55901 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7003 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 27015 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 27016 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5555 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 4444 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 6666 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7777 -o eth0 -j DROP
iptables -A FORWARD -P tcp --dport 135 -o eth0 -j DROP
iptables -A FORWARD -P tcp --dport 136 -o eth0 -j DROP
iptables -A FORWARD -P tcp --dport 137 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 138 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 139 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 3127 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 1433 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 1434 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 445 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5800 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5900 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 6667 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 4444 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 69 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 593 -o eth0 -j DROP
UDP 也屏掉了同样了的端口 |
|