免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1764 | 回复: 4

[系统安全] 脚本请指教!iptables 网络防火墙实现内网用户t访问Interne外网中的FTP,3389,telnet [复制链接]

论坛徽章:
0
发表于 2013-08-14 20:27 |显示全部楼层
本帖最后由 红帽--楠楠 于 2013-08-14 20:32 编辑


普通SNAT和DNAT实验网站80访问
#!/bin/bash
# 1. 定义基本变量
INET_IF="eth0"
INET_IP="218.29.30.31"
LAN_NET="192.168.1.0/24"
LAN_WWW_IP="192.168.1.6"
IPT="/sbin/iptables"
MOD="/sbin/modprobe"
CTL="/sbin/sysctl"
# 2. 加载内核模块
$MOD ip_tables
$MOD ip_conntrack
$MOD xt_state
$MOD xt_multiport
# 3. 调整/proc参数
$CTL -w net.ipv4.ip_forward=1 &> /dev/null
$CTL -w net.ipv4.tcp_syncookies=1 &> /dev/null
$CTL -w net.ipv4.tcp_syn_retries=3 &> /dev/null
$CTL -w net.ipv4.tcp_synack_retries=3 &> /dev/null
$CTL -w net.ipv4.tcp_fin_timeout=60 &> /dev/null
$CTL -w net.ipv4.tcp_max_syn_backlog=3200 &> /dev/null
# 4. 设置具体的防火墙规则
# 4.1 删除自定义链、清空已有规则
$IPT -t filter -X
$IPT -t nat -X
$IPT -t mangle -X
$IPT -t raw -X
$IPT -t filter -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -t raw -F
# 4.2 定义默认策略
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
# 4.3 设置nat表中的各种规则
$IPT -t nat -A POSTROUTING -s $LAN_NET -o $INET_IF -j SNAT --to-source   $INET_IP
$IPT -t nat -A PREROUTING -i $INET_IF -d $INET_IP -p tcp --dport 80 -j DNAT --to-destination $LAN_WWW_IP
# 4.4 设置filter表中的各种规则
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -s $LAN_NET -o $INET_IF -p udp --dport 53 -j ACCEPT
$IPT -A FORWARD -s $LAN_NET -o $INET_IF -p tcp -m multiport --dport 20,21,25,80,110,143,443 -j ACCEPT
$IPT -A FORWARD -d $LAN_NET -i $INET_IF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -d $LAN_WWW_IP -p tcp --dport 80 -j ACCEPT
$IPT -A FORWARD -s $LAN_WWW_IP -p tcp --sport 80 -j ACCEPT


以下我写的和理解的有没有问题,请指教!!!!
$IPT -t nat -A POSTROUTING -s $LAN_NET -o $INET_IF -j SNAT --to-source   $INET_IP
Lan中的计算机ip经过IPTABLES地址会改变成 internet接口IP218.29.30.31
因为
$IPT -P FORWARD DROP
转发的23.3 389端口的丢弃
需要加命令,允许转发23.3389
iptables -I FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dport 23,3389 -j ACCEPT
因为FTP比较特殊,需要加模块
modprobe  ip_nat_ftp
modprobe  ip_conntrack_ftp
iptables -I FORWARD -m state --state ! new -j ACCEPT



iptables.gif

论坛徽章:
0
发表于 2013-08-14 20:30 |显示全部楼层
红色的文字不知道理解对于错,错的请大虾提出建议!!!
谁哪里有公司实际的IPTABLES脚本,想实现内网用户上QQ,飞信等基本上网行为
如何去定义,在我这个脚本之上需要做什么!!!

论坛徽章:
0
发表于 2013-08-15 09:42 |显示全部楼层
版主在不在?在的给我回复一下???

论坛徽章:
0
发表于 2013-08-15 10:10 |显示全部楼层
红字的理解是正确的。
但原脚本中的filter,nat,mangle不需要-X,直接-F就可以了。

论坛徽章:
0
发表于 2013-08-15 10:15 |显示全部楼层
回复 4# 73年生人


    谢谢!!!
有木有可以让局域网上QQ的IPTABLES脚本!!!!
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会

【架构革新 高效可控】2020年12月21日-23日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP