固若金汤的 linux 服务器 防火墙脚本，iptables

veryi.com

有点吹牛了，欢迎大家提出改进意见,\r\n在redhat，2.4内核下通过测试,\r\n适用于独立的互联网服务器\r\n\r\n# Generated by iptables-save v1.2.11 on Thu Dec  9 16:11:51 2004\r\n# Created by dayu*veryi.com (replace * with @)\r\n*mangle\r\n:PREROUTING ACCEPT [119290634]\r\n:INPUT ACCEPT [11336918]\r\n:FORWARD ACCEPT [107464167]\r\n:OUTPUT ACCEPT [12179813]\r\n:POSTROUTING ACCEPT [119644092]\r\nCOMMIT\r\n# Completed on Thu Dec  9 16:11:51 2004\r\n# Generated by iptables-save v1.2.11 on Thu Dec  9 16:11:51 2004\r\n*nat\r\n:PREROUTING ACCEPT [1440161]\r\n:POSTROUTING ACCEPT [519911]\r\n:OUTPUT ACCEPT [15954]\r\nCOMMIT\r\n# Completed on Thu Dec  9 16:11:51 2004\r\n# Generated by iptables-save v1.2.11 on Thu Dec  9 16:11:51 2004\r\n*filter\r\n:INPUT DROP [14]\r\n:FORWARD DROP [0]\r\n:OUTPUT DROP [0]\r\n:ICMP_PACKETS - [0]\r\n:LOG_ACCEPT - [0]\r\n:LOG_DROP - [0]\r\n-A INPUT -i lo -j ACCEPT \r\n-A INPUT -s 10.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -d 10.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 172.16.0.0/255.240.0.0 -i eth0 -j DROP \r\n-A INPUT -d 172.16.0.0/255.240.0.0 -i eth0 -j DROP \r\n-A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j DROP \r\n-A INPUT -d 192.168.0.0/255.255.0.0 -i eth0 -j DROP \r\n-A INPUT -s 127.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 255.255.255.255 -i eth0 -j DROP \r\n-A INPUT -d 0.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 224.0.0.0/240.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 240.0.0.0/248.0.0.0 -i eth0 -j DROP \r\n# Deny IANA reserved ip\r\n# http://www.iana.org/assignments/ipv4-address-space\r\n-A INPUT -s 1.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 2.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 5.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 7.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 23.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 27.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 31.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 36.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 37.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 39.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 41.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 42.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 73.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 74.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 75.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 76.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 77.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 78.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 79.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 89.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 90.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 91.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 92.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 93.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 94.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 95.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 96.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 97.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 98.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 99.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 100.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 101.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 102.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 103.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 104.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 105.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 106.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 107.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 108.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 109.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 110.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 111.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 112.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 113.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 114.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 115.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 116.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 117.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 118.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 119.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 120.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 121.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 122.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 123.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 124.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 125.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 126.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 127.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 173.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 174.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 175.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 176.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 177.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 178.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 179.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 180.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 181.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 182.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 183.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 184.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 185.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 186.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 187.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 189.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 190.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 197.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 223.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 240.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 241.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 242.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 243.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 244.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 245.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 246.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 247.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 248.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 249.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 250.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 251.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 252.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 253.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 254.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n-A INPUT -s 255.0.0.0/255.0.0.0 -i eth0 -j DROP \r\n# 防止ip地址盗用\r\n-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset \r\n-A INPUT -i eth0 -p icmp -j ICMP_PACKETS \r\n# 防止 DOS 攻击\r\n-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix \"IPT INPUT packet died: \" --log-level 6 \r\n-A INPUT -p udp -m udp --dport 53 -j ACCEPT \r\n-A INPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix \"New NOT SYN : \" \r\n-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT \r\n-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 --tcp-flags SYN,RST,ACK SYN -j ACCEPT \r\n-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 --tcp-flags SYN,RST,ACK SYN -j ACCEPT \r\n-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT \r\n-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT \r\n-A OUTPUT -o lo -j ACCEPT \r\n-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT \r\n-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT \r\n-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT \r\n-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT \r\n-A OUTPUT -p tcp -m multiport --dports 21,80,443,8000 -j ACCEPT \r\n-A OUTPUT -p udp -m udp --dport 161 -j ACCEPT \r\n-A OUTPUT -p udp -m udp --dport 123 -j ACCEPT \r\n-A OUTPUT -o eth1 -p icmp -m state --state NEW -j ACCEPT \r\n-A ICMP_PACKETS -p icmp -m icmp --icmp-type 8 -j ACCEPT \r\n-A ICMP_PACKETS -p icmp -m icmp --icmp-type 11 -j ACCEPT \r\n-A LOG_ACCEPT -j LOG --log-prefix \"[ACCEPT] : \" --log-level 6 --log-tcp-options --log-ip-options \r\n-A LOG_ACCEPT -j ACCEPT \r\n-A LOG_DROP -j LOG --log-prefix \"[DROP] : \" --log-level 6 --log-tcp-options --log-ip-options \r\n-A LOG_DROP -j DROP \r\nCOMMIT\r\n# Completed on Thu Dec  9 16:11:51 2004