Linux系统Iptables的常用防火墙配置方法

　　Iptables的常用防火墙配置

　　本脚本环境为eth0外网,eth1内网;

　　#!/bin/sh

　　#外网网卡

　　EXT_IF="eth0"

　　FW_IP="61.137.85.21"

　　#内网网卡

　　INT_IF="eth1"

　　LAN_IP="192.168.0.1"

　　LAN_IP_RANGE="192.168.0.0/255.255.255.0"

　　#加阅模块,一般已内建

　　#Module loading.

　　#echo "modprobe modules"

　　#modprode ip_tables

　　#modprode ip_nat_ftp

　　#modprode ip_conntrack

　　#modprobe ip_conntrack_ftp

　　#启用转发(forward)功能

　　echo "enabling IP FORWARDING……"

　　echo "1" >; /proc/sys/net/ipv4/ip_forward

　　#规则初始化,设置默认都为drop

　　echo "enabling iptables rules"

　　#reset the default policies in the tables

　　iptables -F

　　iptables -X

　　iptables -F -t mangle

　　iptables -X -t mangle

　　iptables -F -t nat

　　iptables -X -t nat

　　iptables -Z -t nat

　　#set policies

　　iptables -P INPUT DROP

　　iptables -P FORWARD DROP

　　iptables -P OUTPUT DROP

　　###——###

[1] [2] [3] [4] [5] 下一页

　　#过虑蠕虫病毒

　　#444/445/69/135/139

　　###——###

　　iptables -A FORWARD -p tcp ——dport 4444 -j DROP

　　iptables -A FORWARD -p udp ——dport 4444 -j DROP

　　iptables -A FORWARD -p tcp ——dport 445 -j DROP

　　iptables -A FORWARD -p udp ——dport 445 -j DROP

　　iptables -A FORWARD -p tcp ——dport 69 -j DROP

　　iptables -A FORWARD -p udp ——dport 69 -j DROP

　　iptables -A FORWARD -p tcp ——dport 135 -j DROP

　　iptables -A FORWARD -p udp ——dport 135 -j DROP

　　iptables -A FORWARD -p tcp ——dport 139 -j DROP

　　iptables -A FORWARD -p udp ——dport 139 -j DROP

　　#允许ping localhost,ping 192.168.0.1/2

　　#allow loopback access

　　iptables -A INPUT -p icmp -i lo -j ACCEPT

　　iptables -A OUTPUT -p icmp -o lo -j ACCEPT

　　#打开内对内连接

　　#iptables -A INPUT -i lo -j ACCEPT

　　#允许代理和内网客户机相互传输数据(包括ping)

　　#allow ping LAN

　　iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT

　　iptables -A OUTPUT -p ALL -o $INT_IF -d $LAN_IP_RANGE -j ACCEPT

　　#允许外网的网卡与内网相互通讯.接受数据只接受响应封包,否则不予放行.发送数据没有限制.

　　iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT

　　#拒绝外部使用内网进行欺骗

　　#deny local cheat

　　iptables -A INPUT -i $EXT_IF -s 192.168.0.0/16 -j DROP

　　iptables -A INPUT -i $EXT_IF -s 10.0.0.0/8 -j DROP

　　iptables -A INPUT -i $EXT_IF -s 172.16.0.0/12 -j DROP

　　iptables -A INPUT -i $EXT_IF -s 127.0.0.0/8 -j DROP

　　#从LAN进入防火墙主机的dhcp封包,不于放行,只有防火墙担任DHCP时才放行

　　#deny DHCP_packets from LAN

　　iptables -A INPUT -p udp -i $INT_IF ——dport 67 ——sport 68 -j DROP

　　###——###

　　#配置向外方向的TCP规则,其中,——state ESTABLISHED ,NEW参数指定要检查哪个状态.

　　#ESTABLISHED标志匹配属于已有的TCP连接的封包.

　　#NEW标志指定试图创建一条新的TCP连接的第一个封包,这条规则指明属于新建的和已建立的

　　#TCP连接的封包将会通过eth0端口向外发送.

　　###——###

　　iptables -A OUTPUT -o $EXT_IF -p tcp -m state ——state ESTABLISHED,NEW -j ACCEPT

　　###——###

　　#配置封包从一个端口转发到另一个端口

[1] [2] [3] [4] 下一页