免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 2370 | 回复: 11

[proxy] 自己写的一个linux下的iptables简单规则,大家提一下意见拉,谢谢! [复制链接]

论坛徽章:
0
发表于 2005-08-07 15:13 |显示全部楼层
自己写个这个主要是针对网吧的.不过,也开了web/ftp/ssh.(网关linux服务器自身当然不会开,只是端口nat到内网.
以下仅是IPTABLE的规则,希望大家给点些意见,大家一起进步,高手不要笑话拉!
希望高手可以指出那里多多余的,那里还欠缺.(对了,防御DDOS,SYN的先不考虑拉.只是要内网都可以冲浪,游戏,聊天等!

eth0接外网 eth1接内网

vi /etc/rc.d/rc.local


echo "1" >; /pro/sys/net/ipv4/ip_forward
IPT="/sbin/iptables"
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp

$IPT -F -t nat
$IPT -X
$IPT -Z

$IPT -P INPUT DROP     \\*禁止所有进入的数据包
$IPT -P FORWARD DROP   \\*禁止所有非本机地址的包
$IPT -P OUTPUT ACCEPT  \\*允许所有出去的包

\\*如果是家中ADSL拨号可将以下两行改为 $IPT -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
$IPT -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE  \\*将192.168.0.0/255.255.255.0这个网段所有客户机对外的访问转向到eth0上
$IPT -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

$IPT -t nat -A PREROUTING -p udp -d 0.0.0.0/0 --dport 53 -j DNAT --to 61.134.1.4:53
$IPT -t nat -A PREROUTING -p udp -d 0.0.0.0/0 --dport 53 -j DNAT --to 61.134.1.9:53
$IPT -t nat -A PREROUTING -p udp -d 0.0.0.0/0 --dport 53 -j DNAT --to 202.100.4.15:53

$IPT -A INPUT -s 192.168.0.0/24 -j ACCEPT \\*允许所有从ETH0到 192.168.0.0/255.255.0.0的数据包
$IPT -A INPUT -s 192.168.1.0/24 -j ACCEPT

$IPT -A INPUT -p tcp --dport 22 -j ACCEPT \\*允许外网访问网关 22 端口 , 这样 才可以端口 再转向到内网
$IPT -A INPUT -p tcp --dport 20 -j ACCEPT
$IPT -A INPUT -p tcp --dport 21 -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT

$IPT -t -nat -A PREROUTING -P tcp -d  --dport 80 -i eth0 -j DNAT --to 内网IP:80  \\*端口转向
$IPT -t -nat -A PREROUTING -P tcp -d  --dport 21 -i eth0 -j DNAT --to 内网IP:21
$IPT -t -nat -A PREROUTING -P tcp -d  --dport 20 -i eth0 -j DNAT --to 内网IP:20

$Ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type ! echo-request -j ACCEPT

论坛徽章:
0
发表于 2005-08-07 20:29 |显示全部楼层

自己写的一个linux下的iptables简单规则,大家提一下意见拉,谢谢!

那位朋友给我提议下意见,谢谢拉,都一天了,就没反映,真失望啊.版主呢!?

论坛徽章:
0
发表于 2005-08-08 08:42 |显示全部楼层

自己写的一个linux下的iptables简单规则,大家提一下意见拉,谢谢!

FREROUTING 是那个链?
另外好像没做NAT。

论坛徽章:
0
发表于 2005-08-08 08:53 |显示全部楼层

自己写的一个linux下的iptables简单规则,大家提一下意见拉,谢谢!

作了啊!
/sbin/modprobe ip_nat_ftp

论坛徽章:
0
发表于 2005-08-08 10:40 |显示全部楼层

自己写的一个linux下的iptables简单规则,大家提一下意见拉,谢谢!

$IPT -t -nat -A FREROUTING -P tcp -d  --dport 80 -i eth0 -j DNAT --to 内网IP:80

请问你上面写的FREGOUTING是什么意思?哪个链?

论坛徽章:
0
发表于 2005-08-08 10:56 |显示全部楼层

自己写的一个linux下的iptables简单规则,大家提一下意见拉,谢谢!

$IPT -F -t nat
这个!

论坛徽章:
0
发表于 2005-08-08 11:26 |显示全部楼层

自己写的一个linux下的iptables简单规则,大家提一下意见拉,谢谢!

什么意思?FREGOUTING这个是什么链?请教

论坛徽章:
0
发表于 2005-08-11 08:22 |显示全部楼层

自己写的一个linux下的iptables简单规则,大家提一下意见拉,谢谢!

之前有些地方输错了字母,楼上的朋友抱歉拉!
同时还加入了点,希望高手可以指正一下,或需要改进的地方!

论坛徽章:
0
发表于 2005-08-14 17:33 |显示全部楼层

自己写的一个linux下的iptables简单规则,大家提一下意见拉,谢谢!

哎!!!都放了几天的帖子了,就没个人看看,看来这里的人气不行啊!郁闷~~~~~~~~~~~~`

论坛徽章:
0
发表于 2005-08-14 18:45 |显示全部楼层

自己写的一个linux下的iptables简单规则,大家提一下意见拉,谢谢!

/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat

这个可以删掉,没必要


$IPT -F -t nat
$IPT -X
$IPT -Z

这里只考虑了 nat 表,没有考虑 filter 表


$IPT -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE  \\*将192.168.0.0/255.255.255.0这个网段所有客户机对外的访问转向到eth0上
$IPT -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

如果有固定公网地址,最好用 SNAT 代替 MASQUERADE,效率会高些


$IPT -t nat -A PREROUTING -p udp -d 0.0.0.0/0 --dport 53 -j DNAT --to 61.134.1.4:53
$IPT -t nat -A PREROUTING -p udp -d 0.0.0.0/0 --dport 53 -j DNAT --to 61.134.1.9:53
$IPT -t nat -A PREROUTING -p udp -d 0.0.0.0/0 --dport 53 -j DNAT --to 202.100.4.15:53

你这么写实际只有第一个是生效的,且 -d 0.0.0.0/0 可省略


$IPT -t -nat -A PREROUTING -P tcp -d  --dport 80 -i eth0 -j DNAT --to 内网IP:80  \\*端口转向
$IPT -t -nat -A PREROUTING -P tcp -d  --dport 21 -i eth0 -j DNAT --to 内网IP:21
$IPT -t -nat -A PREROUTING -P tcp -d  --dport 20 -i eth0 -j DNAT --to 内网IP:20

不知道你这里面的 -d 是什么意思,后面没有地址,太马虎了


另外,通过 $IPT -A INPUT -p tcp --dport 21 -j ACCEPT  这句话,可以知道机器上跑 FTP
因此,在 modprobe ip_nat_ftp 那里再加一个 modprobe ip_conntrack_ftp



还需努力啊。。。。。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP