Firewall的untrust口filter表的脚本...hoho...

最新推荐文章于 2021-04-08 10:46:19 发布
最新推荐文章于 2021-04-08 10:46:19 发布
阅读量1k 收藏
点赞数
分类专栏: Linux Network... TcpIp platform... Security... 文章标签: 脚本 filter tcp output input interface
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lalphbet/article/details/222982
版权

凑合着用吧,抽空完善,还需要弄点脚本处理病毒


#/bin/bash #
#Description: the scripts is used to detect internal network

#1 Define interface
IXP1="222.a.a.a"
IXP0="222.b.b.b"

#2 insert modules
#modprobe ip_tables
#modprobe iptable_conntrack
#modprobe iptable_contrack_ftp
#modprobe ip_LOG


#3 default policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


#4 input chain
iptables -A INPUT -p tcp --dport 22 -s 222.c.c.c -j ACCEPT
iptables -A INPUT -p icmp -s 222.d.d.d -j ACCEPT
#dns
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

#5 output chain
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

#dns
iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

#6 FORWARD chain
#Huada
#out--->in
iptables -A FORWARD -p tcp --dport 2000 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p udp --dport 10010 -i ixp1 -o ixp0  -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 2000 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p udp --sport 10010 -i ixp1 -o ixp0 -j ACCEPT

#caiwu
iptables -A FORWARD -p tcp --dport 19876 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p tcp --sport 19876 -i ixp1 -o ixp0 -j ACCEPT

#POS
#out--->in
iptables -A FORWARD -p tcp --dport 9191:9199 -i ixp1 -o ixp0 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 9191:9199 -i ixp0 -o ixp1 -j ACCEPT

#http,www
#out--->in
iptables -A FORWARD -p tcp --dport 80 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4500 -i ixp1 -o ixp0 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 80 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p tcp --sport 8080 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p tcp --sport 4500 -i ixp0 -o ixp1 -j ACCEPT

#ftp
#out--->in
iptables -A FORWARD -p tcp --dport 21 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p tcp --sport 21 -i ixp0 -o ixp1 -j ACCEPT

#trust--->dmz 3389
#in--->out
iptables -A FORWARD -p tcp --dport 3389 -i ixp0 -o ixp0 -j ACCEPT
#out--->in
iptables -A FORWARD -p tcp --sport 3389 -i ixp0 -o ixp0 -j ACCEPT

#trust--->dmz 135-139
#out--->in
iptables -A FORWARD -p tcp --dport 135:139 -i ixp0 -o ixp0 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 135:139 -i ixp0 -o ixp0 -j ACCEPT

#pop3,smtp
#out--->in
iptables -A FORWARD -p tcp --dport 110 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -i ixp1 -o ixp0 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 110 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -i ixp0 -o ixp1 -j ACCEPT

#rsa tcp 1645
#out--->in
iptables -A FORWARD -p tcp --dport 1645 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p udp --dport 1645 -i ixp1 -o ixp0 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 1645 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p tcp --sport 1645 -i ixp0 -o ixp1 -j ACCEPT

#esp&udp,IKE
#esp
iptables -A FORWARD -p 50 -j ACCEPT
#out--->in
iptables -A FORWARD -p udp --dport 65264 -j ACCPET
iptables -A FORWARD -p udp --dport 500 -j ACCEPT
#in--->out
iptables -A FORWARD -p udp --sport 65264 -j ACCEPT
iptables -A FORWARD -p udp --sport 500 -j ACCEPT

#igmp
iptables -A FORWARD -p igmp -j ACCEPT

#Windows virus And dangerous
#iptables -A FORWARD -p tcp --dport 1433 -j DROP
#iptables -A FORWARD -p tcp --sport 1433 -j DROP
#iptables -A FORWARD -p tcp --dport 135 -j DROP
#iptables -A FORWARD -p tcp --sport 135 -j DROP
#iptables -A FORWARD -p tcp --dport 139 -j DROP
#iptables -A FORWARD -p tcp --sport 139 -j DROP
#iptables -A FORWARD -p tcp --dport 445 -j DROP
#iptables -A FORWARD -p tcp --sport 445 -j DROP

#ldap
#out--->in
iptables -A FORWARD -p tcp --dport 3268 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 3268 -j ACCEPT


#smc
#out--->in
iptables -A FORWARD -p tcp --dport 6666 -j ACCEPT
iptables -A FORWARD -p tcp --dport 7777 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 6666 -j ACCEPT
iptables -A FORWARD -p tcp --sport 7777 -j ACCEPT

#ntp,relax                                                                     
iptables -A FORWARD -p tcp --dport 123 -j ACCEPT                               
iptables -A FORWARD -p tcp --sport 123 -j ACCEPT  


留个备份:
对于/proc/net/ip_conntrack
找出有病毒的连接:
cat /proc/net/ip_conntrack |grep UNREP|awk -F= {' print $2 '} |awk {' print $1 '} /
|sort|uniq -c|sort
如果定义超过20条连接就算病毒,那就好办咯...

再单独给两个不受限制的ip自己玩,hoho...

Lalphbet
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Filter防火墙
qq_59468802的博客
10-12 108
实验简介: 实验所属系列:防火墙技术 实验对象: 本科/专科信息安全专业 相关课程及专业:信息安全基础、计算机网络 实验时数(学分):4学时 实验类别:实践实验类 实验目的: 1、了解个人防火墙的基本工作原理; 2、掌握Filter防火墙的配置。 预备知识: 防火墙 防火墙(Firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。 防火墙是用来阻挡外部不...
Linux中的防火墙技术(一)firewall
Sparks _Fly
03-25 2768
firewall火墙控制 1.selinux端口标签的修改 1)添加端口 semanage port -a -t http_port_t -p tcp 6666 <1>安装软件开启服务 [root@shenzhen ~]# yum install httpd 已加载插件:langpacks 软件包 httpd-2.4.6-17.el7.x86_64 已安装并且是最新版本 无须任何处理 ...
firewalld filter
weixin_30299539的博客
05-12 179
实现 firewalld 的filter 功能 1. 关闭 INPUT ,关闭OUTPUT (设置黑名单) 任何主机 都 ping 不通 本主机 1>命令 : iptables -P INPUT DROP 2>. 3>查看 2. 设置白名单 @1> 例如 实现宿主机通过ssh 与本主机进行 连接(xshell ,crt)连接 命令 :...
github项目filter_firewall说明
weixin_30550271的博客
05-22 192
本文编写的目的: 本文是对上传到github上的项目进行说明。github链接:filter_firewall有任何意见或者建议可以Email:18277973721@sina.cn 项目介绍: 包过滤型防火墙,对访问本地网络的数据包进行操作,包括允许访问(Accept)和阻止访问(Drop)两种方式。 开发环境:   操作系统:Ubuntu 12.04, Linux内核为3....
防火墙基本应用(华为USG6000V)
611 - 菜鸟运维逆袭架构师之路
04-08 2092
防火墙的基本应用 实验工具:ENSP 如图搭建一个拓扑图 1.将三个路由器创建IP地址 [R5-GigabitEthernet0/0/0]ip address 192.168.10.1 24 [R6-GigabitEthernet0/0/0]ip address 192.168.20.1 24 [R7-GigabitEthernet0/0/0]ip address 192.168.30.1 24 2.在交换机创建VLAN [SW1]vlan batch 10 20 30 3.设置所有接口 [SW1]po
自动化英语资料PPT资料.ppt
11-02
例如,"breach"指的是破坏或安全漏洞,"vulnerability"是指系统的弱点,而"firewall"是用于保护网络免受未经授权访问的防护措施。 2. 四种计算机安全漏洞的区别:这涉及到识别和区分不同类型的攻击方式,如物理攻击...
centos7.2离线安装mysql5.7.18.tar.gz
09-09
复制`mysql.server`脚本到`/etc/init.d/`,启动服务,并设置开机启动: - `cp support-files/mysql.server /etc/init.d/mysql` - `systemctl start mysql.service` - `chkconfig mysql.server on` 7. **启动...
WindowsFirewall.diagcab
07-26
当然,如果遇到有 WindowsFirewall.diagcab 无法解决的问题,可以点击查看详细信息来获取相关问题的报告,再到搜索引擎去查找或者咨询 IT Pro。 win10系统如何重置防火墙设置? 如果排查工具没有发现任何错误,可以将...
最新版linux apache-tomcat-9.0.37.tar.gz
07-07
5. **启动、停止和管理**:Apache Tomcat提供了一系列的脚本用于管理服务,如`bin/startup.sh`用于启动Tomcat,`bin/shutdown.sh`用于关闭Tomcat。这些脚本需要使用`sudo`权限执行。 6. **配置**:Tomcat的配置文件...
Centos7 Firewall 防火墙配置规则
自由的大月
03-13 1万+
简单的配置,参考学习: –permanent 当设定永久状态时 在命令开头或者结尾处加入此参数,否则重载或重启防火墙后设置失效! 开放端口: firewall-cmd –zone=public –add-port=80/tcp –permanent firewall-cmd –zone=public –add-port=22/tcp –permanent 常见端口 http:...
Linux防火墙之ipfilter(iptalbes)介绍使用
Mainux的专栏
03-05 5313
Linux防火墙之ipfilter(iptalbes)介绍使用
防火墙(firewalld与iptables)
热门推荐
一涵的博客
12-04 5万+
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalld与iptables 关于两者的不同介绍如下: 1 2 iptables通过控制端口来控制服务,而firewalld则是通过控制协议来控制
hping2的使用方法. ..后边再添加其他工具...
11-24 6295
Hping2---网络探测工具   工具名称:Hping2  应用环境:Linux   工具介绍:hping是一个基于命令行的TCP/IP工具,它在UNIX上得到很好的应用,不过它并非仅仅一个ICMP请求/响应工具,它还支持TCP、UDP、ICMP;RAW-IP协议,以及一个路由模型HPING一直被用作安全工具,可以用来测试网络及主机的安全,它有以下功能:   1.防火墙探测(通过pi
关于GRE封装...
11-07 3745
GRE——通用路由封装 ----GRE在RFC1701/RFC1702中定义,它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义,它允许用户使用IP封装IP、IPX、AppleTalk,并支持全部的路由协议如RIP、OSPF、IGRP、EIGRP。通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还
SYN攻击的基本原理、工具及检测方法以及防范技术
12-23 3050
作者:宋振锋 发布时间:2004-02-03 --------------------------------------------------------------------- http://www.ntnet110.gov.cn/netsecs/viewNecs.jsp?necsid=76据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得200
Cisco路由器的nat设置...
10-26 2515
NAT(Network Address Translation)功能配置 随着internet的网络以爆炸性的速度膨胀,IP地址短缺及路由规模越来越大已成为一个相当严重的问题。为了解决这个问题,出现了多种解决方案。一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。 所谓的地址转换,即NAT功能,就是指在一个组织网络内部,根据需要可以随意自定义的IP地址(不需要经过申请)即假的IP地址。在
网络管理和SNMP协议
09-20 2192
传统的系统管理员关心的问题是诸多问题,如安装配置、备份恢复、资源共享、系统安全和性能优化等等,都是当今网络管理的重要方面。不仅如此,网络的复杂性使得被管理的对象在系统中不是集中的,而是分散的。分布式的管理必然要求网络管理员在网络的协议层次结构上对系统管理做出重新的认识,即从物理层、链路层、网络层、传输层和应用层的角度重新考虑系统管理的涵盖内容。综合了这诸多方面,加上面向应用(或业务)的管理能力,是
Failed to stop firewall.service: Unit firewall.service not loaded.
最新发布
05-15
这个错误提示明尝试停止一个名为firewall.service的服务,但是该服务未被加载。可能是由于服务名输错或者该服务未被安装。您可以通过以下命令检查该服务的状态: systemctl status firewall.service 如果该服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值