大家看看我的前后两份iptables脚 本,请教版主等高手们！

0ZXCVBNM0

-s source-ip：匹配主机或者网络源ip地址

使用ppp0应该是不行的吧？

iptables -A OUTPUT -o ppp0 -j ACCEPT怎么样？

枫影谁用了

原帖由 "0ZXCVBNM0" 发表：
-s source-ip：匹配主机或者网络源ip地址

使用ppp0应该是不行的吧？

iptables -A OUTPUT -o ppp0 -j ACCEPT怎么样？

可是我这样做后内网还是上不了网！

platinum

建议重新回炉，重新补习以下 iptables 的基础知识，你会发现自己问了一个本不该问的弱问题

如果不想看书，也可以自己比较一下前后的区别

0ZXCVBNM0

iptables -A OUTPUT -p ALL -o ppp0 -j ACCEPT如何？

我也是瞎猜……

我觉得您不如在第一份脚本的基础上进行修改，逐渐加入您想细化控制的东西，这样一旦出问题会马上知道是哪条语句的事情了~

枫影谁用了

原帖由 "platinum" 发表：
建议重新回炉，重新补习以下 iptables 的基础知识，你会发现自己问了一个本不该问的弱问题

如果不想看书，也可以自己比较一下前后的区别

嘻嘻！我要是有有时间 我早就重看了！是忘记了好多！
因为服务器要是再不搞好就要完蛋了！那些攻击的人根本就不给我这些时间！！
所以我才寄拖于你们！

           现在服务器几个钟就要重启动一次！当死机时我拔了网线，就不死了！我重开，一个多种又死了！！！！！         :em16:

前面的两个脚本INPUT链是一样的！我就是想在后面的两个键中控制！而且我怀疑攻击来自内网！内网那么多机我不可能一台一台去杀毒！

platinum

1. 
   
2. #! /bin/bash
   
3. modprobe ip_nat_ftp
   
4. modprobe ip_conntrack_ftp
   
5. iptables -F
   
6. iptables -t nat -F
   
7. iptables -X
   
8. iptables -t nat -X
   
9. iptables -P INPUT DROP
   
10. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
11. iptables -A INPUT -i eth1 -p tcp -m multiport --dports 443,139,80,21,53,110,25 -j ACCEPT
    
12. iptables -A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT
    
13. iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
    
14. iptables -A INPUT -p gre -j ACCEPT
    
15. iptables -A INPUT -i ppp0 -p tcp -m multiport --dports 110,80,25 -j ACCEPT
    
16. iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
    
17. iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
    
18. iptables -A INPUT -p icmp -j DROP
    
19. sysctl -w net.ipv4.ip_forward=1 &>;/dev/null
    
20. sysctl -w net.ipv4.tcp_syncookies=1 &>;/dev/null
    
21. sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3600 &>;/dev/null
    
22. sysctl -w net.ipv4.ip_conntrack_max=500000 &>;/dev/null
    

复制代码

枫影谁用了

[quote]原帖由 "platinum"][/quote 发表：


sysctl -w net.ipv4.ip_forward=1 &>;/dev/null
sysctl -w net.ipv4.tcp_syncookies=1 &>;/dev/null
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3600 &>;/dev/null
sysctl -w net.ipv4.ip_conntrack_max=500000 &>;/dev/null
可不可以解释一下这段！我一点也没看懂这段是什么意思！
不过这个链和我第一个脚本上的功能基本上一样！
还有就是在output和forward键上的功能我正在写！基本上还顺利！非常感谢你！
还有问个私人问题，你到过香港吗？ 嘻嘻！

platinum

FORWARD、OUTPUT 你不用考虑
允许路由转发
sysctl -w net.ipv4.ip_forward=1 &>;/dev/null

打开 syncookie （轻量级预防 DOS 攻击）
sysctl -w net.ipv4.tcp_syncookies=1 &>;/dev/null

设置默认 TCP 连接痴呆时长为 3600 秒（此选项可以大大降低连接数）
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3600 &>;/dev/null

设置支持最大连接树为 50W（这个根据你的内存和 iptables 版本来，每个 connection 需要 300 多个字节）
sysctl -w net.ipv4.ip_conntrack_max=500000 &>;/dev/null


PS： 香港？没有 ^_^

枫影谁用了

原帖由 "platinum" 发表：
FORWARD、OUTPUT 你不用考虑
允许路由转发
sysctl -w net.ipv4.ip_forward=1 &>;/dev/null

打开 syncookie （轻量级预防 DOS 攻击）
sysctl -w net.ipv4.tcp_syncookies=1 &>;/dev/null

设置默认 TCP..........

sysctl -w net.ipv4.ip_forward=1 &>;/dev/null这个不是和echo '1'>;/proc/sys/net/ipv4/ip_forward 和这个一样吗？
FORWAR我想控制内网的一些连接！
所以我想只能在这里控制吧！只是打开转发，如果内网一些大的连接我想服务器会顶不住，因为外网也会有很多的http和mail请求到服务器！

那深圳呢？嘿嘿！我在深圳！偶会到香港出差！香港比深圳美！繁华！

枫影谁用了

platinum，又要麻烦你了，用了你的脚本，服务器的比以前正常很多！非常感谢！但是还有一个问题就是我的skype灯不进去了！问题是这样的！
以前skype是可以随意灯入灯出的！但是现在skype只要灯出了就再也无法灯入了！