免费注册 查看新帖 |

Chinaunix

广告
  平台 论坛 博客 文库
论坛 操作系统 Linux论坛 网络与硬件 iptables問題
最近访问板块 发新帖
查看: 1181 | 回复: 7
打印 上一主题 下一主题

iptables問題 [复制链接]

zxwwen

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2006-12-29 15:48 |只看该作者 |倒序浏览
我公司的網絡結構如下:

internet
------------------ ADSL(IP:192.168.1.1)-------HUB-----工作站1
                                                ------Firewall(IP:192.168.1.254 gateway:192.168.1.1)(linux enterprise as 4) --DHCP,firewall,GateWay
                                                -------工作...
                                                ------工作站n

其他工作站的網關沒為 Firewall的IP地址.
我想在firewall電腦是設定其他工作站一些電腦可以上網,一些電腦不讓上網.
這樣的firewall腳本如何寫?

[ 本帖最后由 zxwwen 于 2006-12-29 16:11 编辑 ]
zxwwen

论坛徽章:
0
2 [报告]
发表于 2007-01-02 15:49 |只看该作者
自已頂!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
jiangdaoyou

论坛徽章:
0
3 [报告]
发表于 2007-01-02 16:39 |只看该作者
可参考我的文章:http://blog.chinaunix.net/u/9284/showart.php?id=106582
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zxwwen

论坛徽章:
0
4 [报告]
发表于 2007-01-03 13:30 |只看该作者
原帖由 jiangdaoyou 于 2007-1-2 16:39 发表
可参考我的文章:http://blog.chinaunix.net/u/9284/showart.php?id=106582


我看過你的文件,我有一個問題
你-P FORWARD DROP
你下面為什麼還有那麼多
################# lock POPO chat #############################
$IPTABLES -A FORWARD -d 202.108.42.176 -j DROP
$IPTABLES -A FORWARD -d 202.108.42.0/24 -j DROP
$IPTABLES -A FORWARD -d  221.231.129.0/24 -j DROP
$IPTABLES -A FORWARD -d  61.152.101.0/24 -j DROP
$IPTABLES -A FORWARD -d  61.152.97.0/24 -j DROP
################# lock ourgame chat #############################
$IPTABLES -A FORWARD -d 202.108.36.77 -j DROP
$IPTABLES -A FORWARD -d 202.108.36.0/24 -j DROP
################# lock yahoo chat #############################
$IPTABLES -A FORWARD -d 216.155.193.225 -j DROP
$IPTABLES -A FORWARD -d 216.155.193.160 -j DROP
$IPTABLES -A FORWARD -d 216.155.193.133 -j DROP
$IPTABLES -A FORWARD -d 216.155.193.143 -j DROP
$IPTABLES -A FORWARD -d 216.155.193.153 -j DROP
$IPTABLES -A FORWARD -d 216.155.194.122 -j DROP
$IPTABLES -A FORWARD -d 216.155.193.0/24 -j DROP
$IPTABLES -A FORWARD -d 61.145.112.212 -j DROP
$IPTABLES -A FORWARD -d 61.145.112.210 -j DROP
$IPTABLES -A FORWARD -d 80.67.74.118 -j DROP
$IPTABLES -A FORWARD -d 216.109.116.191 -j DROP
$IPTABLES -A FORWARD -d 216.136.173.169 -j DROP
################# lock msn chat #############################
$IPTABLES -A FORWARD -d 207.46.104.0/24 -j DROP
$IPTABLES -A FORWARD -d 207.46.105.0/24 -j DROP
$IPTABLES -A FORWARD -d 207.46.106.0/24 -j DROP
$IPTABLES -A FORWARD -d 207.46.107.0/24 -j DROP
$IPTABLES -A FORWARD -d 207.46.108.0/24 -j DROP
$IPTABLES -A FORWARD -d 207.46.109.0/24 -j DROP
$IPTABLES -A FORWARD -d 207.46.110.0/24 -j DROP

################# lock QQ chat #############################
$IPTABLES -A FORWARD -d 202.103.149.40 -j DROP
$IPTABLES -A FORWARD -d 61.135.157.0/24 -j DROP
$IPTABLES -A FORWARD -d 61.144.238.0/24 -j DROP
$IPTABLES -A FORWARD -d 61.144.238.145 -j DROP
$IPTABLES -A FORWARD -d 61.144.238.146 -j DROP
$IPTABLES -A FORWARD -d 61.144.238.156 -j DROP
$IPTABLES -A FORWARD -d 61.144.238.150 -j DROP
$IPTABLES -A FORWARD -d 61.144.238.155 -j DROP
$IPTABLES -A FORWARD -d 61.144.238.149 -j DROP
$IPTABLES -A FORWARD -d 61.141.194.0/24 -j DROP
$IPTABLES -A FORWARD -d 61.141.194.203 -j DROP
$IPTABLES -A FORWARD -d 61.141.194.200 -j DROP
$IPTABLES -A FORWARD -d 61.141.194.224 -j DROP
$IPTABLES -A FORWARD -d 61.141.194.227 -j DROP
$IPTABLES -A FORWARD -d  61.152.101.0/24 -j DROP
$IPTABLES -A FORWARD -d  61.152.100.0/24 -j DROP

$IPTABLES -A FORWARD -d 202.104.129.0/24 -j DROP
$IPTABLES -A FORWARD -d 202.104.129.251 -j DROP
$IPTABLES -A FORWARD -d 202.104.129.252 -j DROP
$IPTABLES -A FORWARD -d 202.104.129.253 -j DROP
$IPTABLES -A FORWARD -d 202.104.129.254 -j DROP
$IPTABLES -A FORWARD -d 202.96.170.0/24 -j DROP
$IPTABLES -A FORWARD -d 202.96.170.166 -j DROP
$IPTABLES -A FORWARD -d 202.96.170.163 -j DROP
$IPTABLES -A FORWARD -d 202.96.170.164 -j DROP
$IPTABLES -A FORWARD -d 219.133.45.0/24 -j DROP
$IPTABLES -A FORWARD -d 219.133.45.15 -j DROP
$IPTABLES -A FORWARD -d 219.133.40.0/24 -j DROP
$IPTABLES -A FORWARD -d 219.133.60.0/24 -j DROP
$IPTABLES -A FORWARD -d 219.133.51.0/24 -j DROP
$IPTABLES -A FORWARD -d 219.133.41.0/24 -j DROP
$IPTABLES -A FORWARD -d 219.133.48.0/24 -j DROP
$IPTABLES -A FORWARD -d 219.133.49.0/24 -j DROP
$IPTABLES -A FORWARD -d 219.133.38.0/24 -j DROP
$IPTABLES -A FORWARD -d 219.133.40.0/24 -j DROP
$IPTABLES -A FORWARD -d 219.133.41.0/24 -j DROP
$IPTABLES -A FORWARD -d 219.133.62.0/24 -j DROP
$IPTABLES -A FORWARD -d 218.18.95.0/24 -j DROP
$IPTABLES -A FORWARD -d 218.18.95.221 -j DROP
$IPTABLES -A FORWARD -d 218.18.95.209 -j DROP
$IPTABLES -A FORWARD -d 218.18.95.153 -j DROP
$IPTABLES -A FORWARD -d 218.18.95.171 -j DROP
$IPTABLES -A FORWARD -d 218.18.95.140 -j DROP
$IPTABLES -A FORWARD -d 218.18.95.162 -j DROP
$IPTABLES -A FORWARD -d 218.17.209.0/24 -j DROP
$IPTABLES -A FORWARD -d 218.17.209.23 -j DROP
$IPTABLES -A FORWARD -d 218.17.209.42 -j DROP
$IPTABLES -A FORWARD -d 218.17.209.20 -j DROP
$IPTABLES -A FORWARD -d 218.17.209.21 -j DROP
$IPTABLES -A FORWARD -d 218.85.138.0/24 -j DROP
$IPTABLES -A FORWARD -d 207.46.157.0/24 -j DROP
$IPTABLES -A FORWARD -d 207.46.156.0/24 -j DROP
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lovegqin

论坛徽章:
0
5 [报告]
发表于 2007-01-03 16:29 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
jiangdaoyou

论坛徽章:
0
6 [报告]
发表于 2007-01-03 18:38 |只看该作者
[quote]原帖由 zxwwen 于 2007-1-3 13:30 发表


我看過你的文件,我有一個問題
你-P FORWARD DROP
你下面為什麼還有那麼多
################# lock POPO chat #############################
.........

下面主要为了要禁止聊天程序。

如:iptabled -A -d 202.88.88.88 -j DROP
      iptables -A -s 192.168.1.1 -j ACCEPT
      那么192.168.1.1就除了202.88.88.88不能访问外,其它都能访问
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
山东大葱

论坛徽章:
0
7 [报告]
发表于 2007-01-03 22:19 |只看该作者
原帖由 jiangdaoyou 于 2007-1-3 18:38 发表
如:iptabled -A -d 202.88.88.88 -j DROP
      iptables -A -s 192.168.1.1 -j ACCEPT
      那么192.168.1.1就除了202.88.88.88不能访问外,其它都能访问


你感觉你这样写有问题没?
iptables -A FORWARD -s 192.168.1.1 -d 202.88.88.88 -j DROP
iptables -A FORWARD -s 192.168.1.1 -j ACCEPT
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zxwwen

论坛徽章:
0
8 [报告]
发表于 2007-01-04 08:53 |只看该作者
#!/bin/bash
# .....2007.01.04...,......

###--------------------------------------------------------------------###
#.......
###--------------------------------------------------------------------###

PATH=/sbin:/usr/sbin:/bin:/usr/bin

TRUE_PORT="21 22 25 53 110 433 3308"
###--------------------------------------------------------------------###
#confirm iptables install
###--------------------------------------------------------------------###

which iptables &>/dev/null || {
echo
echo "$(basename $0): iptables Driver not found!"
echo ".........."
echo
exit 1
}

###--------------------------------------------------------------------###
#close ipchains,....redhat.....,.....iptables......
###--------------------------------------------------------------------###

lsmod | grep ipchains &>/dev/null && {
echo "Please wait a monment closing ipchains server!"
rmmod ipchains
}

###--------------------------------------------------------------------###
# add modules
###--------------------------------------------------------------------###

echo "adding Modules"
modprobe ip_tables &>/dev/null || {
echo -n "$(basename $0): add ip_tables fail!"
echo "Please check!"
exit 3
}
for file in /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_conntrack_*.o
do
module=$(basename $file)
modprobe ${module%.*} &>/dev/null
done
for file in /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_nat_*.o
do
module=$(basename $file)
modprobe ${module%.*} &>/dev/null
done

#clear all
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -Z -t mangle
                                       

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p imcp -j ACCEPT

for PORT in $TRUE_PORT;do
iptables -A INPUT -p tcp --dport  $POTR -j ACCEPT
done
iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
iptables -A PORWARD -m state --state ESTABLUSHED,RELATED -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
#DNS
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.1.0/24 --dport 53 -j ACCEPT
#FTP
modprobe ip_conntrack_ftp
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -dport 21 -j ACCEPT

#Mail
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -dport 110 -j ACCEPT

#Remote Desktop Connection
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 3389 -j ACCEPT

#MySql

iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 3306 -j ACCEPT

#VNC
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 5800 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 3600 -j ACCEPT

#Open 192.168.1.206 可以上網
iptables -A FORWARD -p tcp -s 192.168.1.206 --dport 80 -j ACCEPT

[ 本帖最后由 zxwwen 于 2007-1-4 08:58 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP