iptables脚本

最新推荐文章于 2023-11-06 18:53:10 发布
最新推荐文章于 2023-11-06 18:53:10 发布
阅读量508 收藏
点赞数
分类专栏: 运维安全 文章标签: input tcp filter output redirect

 

#!/bin/bash

PATH=/sbin:/usr/sbin:/bin:/usr/binRC_SQUID=/etc/rc.d/init.d/squid

# 對外連線EXTIF="eth1"

# 對內連線INTIF="eth0"INNET="192.168.100.1/24"

# 針對 NAT & DHCPNATNET="eth2"NTNET="192.168.21.1/24"

#掛入相關 module /sbin/modprobe ip_tables /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp

# 先清除所有的防火牆規則/sbin/iptables -F/sbin/iptables -X/sbin/iptables -Z/sbin/iptables -F -t nat/sbin/iptables -X -t nat/sbin/iptables -Z -t nat/sbin/iptables -P INPUT DROP/sbin/iptables -P OUTPUT ACCEPT/sbin/iptables -P FORWARD ACCEPT/sbin/iptables -t nat -P PREROUTING ACCEPT/sbin/iptables -t nat -P POSTROUTING ACCEPT/sbin/iptables -t nat -P OUTPUT ACCEPT

# 開放特定Port/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 22 -j DROP # SSH/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 25 -j ACCEPT # SMTP/sbin/iptables -A INPUT -p UDP -i $EXTIF --dport 53 -j ACCEPT # DNS/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 53 -j ACCEPT # DNS/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 80 -j ACCEPT # WWW/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 110 -j ACCEPT # POP3/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 113 -j ACCEPT # AUTH/sbin/iptables -A INPUT -p TCP -i $INTIF --dport 137 -j ACCEPT # SMB/sbin/iptables -A INPUT -p TCP -i $INTIF --dport 138 -j ACCEPT # SMB/sbin/iptables -A INPUT -p TCP -i $INTIF --dport 139 -j ACCEPT # SMB/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 7021 -j ACCEPT # VFTP/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 6080 -j ACCEPT # WWW

/sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -P FORWARD DROP /sbin/iptables -t filter -A FORWARD -i eth1 -o eth2 -m state --state ESTABLISHED,RELATE -j ACCEPT /sbin/iptables -t filter -A FORWARD -i eth2 -o eth1 -p tcp -s 192.168.100.0/24 --dport 6080 -j ACCEPT

# 啟動所有介面的來源 IP 查核 if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] then for f in /proc/sys/net/ipv4/conf/*/rp_filter do echo 1 〉 $f done fi

# 防止 sync flood 攻擊 /sbin/iptables -N synfoold /sbin/iptables -A synfoold -p tcp --syn -m limit --limit 1/s -j RETURN /sbin/iptables -A synfoold -p tcp -j REJECT --reject-with tcp-reset /sbin/iptables -A INPUT -p tcp -m state --state NEW -j synfoold

# 防止 Ping of Death /sbin/iptables -N ping /sbin/iptables -A ping -p icmp --icmp-type echo-request -m limit --limit 1/second -j RETURN /sbin/iptables -A ping -p icmp -j REJECT /sbin/iptables -I INPUT -p icmp --icmp-type echo-request -m state --state NEW -j ping

# 防止惡意掃描 /sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP /sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL ALL -j DROP /sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP /sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL NONE -j DROP /sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags SYN,RST SYN,RST -j DROP /sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# 來自內部的連線一律放行 /sbin/iptables -A INPUT -i $INTIF -j ACCEPT/sbin/iptables -A INPUT -i $NATNET -j ACCEPT

# 重導 www 請求至 Squid (透通代理) # 如果您有架設 Proxy Server 可以將註解拿掉 # 這樣可以強迫使用者使用 Proxy 而不必修改 Client 端設定 /sbin/iptables -t nat -A PREROUTING -i $NATNET -p tcp --dport 80 -j REDIRECT --to -port 6080

# 啟動 IP 偽裝 /sbin/iptables -t nat -A POSTROUTING -s $NATNET -o $EXTIF -j MASQUERADE

# 阻擋指定的網卡號碼 # 這是 Kernel 2.4 系列新功能,主要防止 Client 非法搶 IP # /sbin/iptables -A INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

# 最後擋掉其他外部連線要求 /sbin/iptables -A INPUT -i $NATNET -m state --state NEW,INVALID -j DROP /sbin/iptables -A FORWARD -i $NATNET -m state --state NEW,INVALID -j DROP

# 防止超量攻擊 echo 1 〉 /proc/sys/net/ipv4/tcp_syncookies

# 啟動 IP 轉送 echo 1 〉 /proc/sys/net/ipv4/ip_forward #以上脚本请根据自己的实际情况进行修改

cybend
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables基础-配置iptables
weixin_41951170的博客
04-20 334
配置iptables配置iptables 配置iptables centos7以上版本,默认防火墙为firewall,需要将fairewall关闭后开启iptables,如下为配置步骤及命令。 查看firewall状态并关闭 查看防火墙状态 [root@hostname ~]#firewall-cmd --state running 关闭firewall [root@hostname ~]#sy...
iptables 自动屏蔽访问网站频繁的IP脚本
最新发布
ducanwang的博客
05-31 353
DATE=$(date +"%a %b %e %H:%M") #星期月天时分 %e单数字时显示7,而%d显示07。#先tail防止文件过大,读取慢,数字可调整每分钟最大的访问量。awk不能直接过滤日志,因为包含特殊字符。#gsub是将第五列(客户端IP)的冒号和端口去掉。2)屏蔽每分钟SSH尝试登录超过10次的IP。方法1:根据访问日志(Nginx为例)1)屏蔽每分钟访问超过200的IP。方法2:通过TCP建立的连接。方法2:通过日志获取登录状态。场景:恶意访问,安全防范。
iptables
qq_65844169的博客
11-06 438
root@localhost ~]# iptables -t filter -A INPUT -s 192.168.233.0/24 -p tcp --dport 80 -j REJECT #禁止整个网段访问80端口。[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 0 -j REJECT #拒绝回显,本机ping不了其他的主机,且没有任何显示。
centos7安装docker报错iptables v1.4.21: Couldn‘t load target `DOCKER-ISOLATION‘
weixin_38879931的博客
07-01 3754
最近在学习docker过程中,第一步docker启动,就遇到了问题,按照官网步骤安装完成后,进行启动,报错:iptables v1.4.21: Couldn’t load target `DOCKER-ISOLATION’,具体如下: 刚开始,将防火墙进行关闭,确实能够启动 但是总觉得,问题不在这里,经过查找发现,在centos7中,使用firewall代替了iptables,解决本次问题,还是将firewall关掉,启用iptables 问题解决!记录一下,以便于日后学习...
【liinux网络(五):iptables防火墙工具(SNAT、DNAT)】
Mits_Ximu的博客
08-22 118
iptables 防火墙工具、SNAT DNAT
Linux笔记-iptables开放指定端口,开放ICMP协议,其他端口禁止访问
IT1995的博客
03-27 1万+
下面实现3个规则: ①对所有的地址开放本机的tcp(80、22、10~21)端口的访问。 ②运行对所有地址开放本机的基于ICMP协议的数据包访问。 ③其他未允许的端口则禁止访问。 #查看本机开放的端口 netstat -luntp [root@bogon ~]# netstat -luntp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address
好用的iptables脚本
07-09
好用的iptables脚本,包括iptables.rule,iptables.deny,iptables.allow三个文件。
分享一个实用的iptables脚本(各种过滤写法参考)
01-20
这个iptables脚本不错,很实用,根据实际应用改一下就可以自己用。分享出来,供大家来参考。原作者佚名。源代码如下: 代码如下:#!/bin/sh#modprobe ipt_MASQUERADEmodprobe ip_conntrack_ftpmodprobe ip_nat_...
iptables配置脚本_iptables配置脚本.sh_
10-02
最基础的iptables配置脚本,一键加固Linux防火墙
Shell ❀ 一键配置Iptables规则脚本 (HW推荐)
无糖可乐没有灵魂
07-28 1317
【代码】Shell ❀ 一键配置Iptables规则脚本 (HW推荐)
超详细的iptables脚本
m0_55877125的博客
05-24 388
这个脚本在比较详细地介绍了如何在 iptables 中设置和应用各种规则,包括默认的策略、回环接口、已建立相关连接、HTTP/HTTPS/SSH等协议和端口、SYN Flood攻击、本地网络、邮件服务、DNS服务、FTP服务、MySQL服务、NTP、SNMP和ICMP协议包等。大家可以结合自己的实际需求进行修改和使用。
iptables使用详解
DoloresOOO的博客
07-25 671
iptables使用详解 1、四表 首先来说一下iptables的四张表 filter负责过滤数据包,他包括的规则链有input,output和forward。 nat(Network Address Translation,网络地址转换)顾名思义,网络地址转换,这张表就是负责网络地址转换,其中有prerouting,postrouting和output。 mangle表则主要应用修改数据包内容上...
配置防火墙,开启80端口、3306端口 & iptables 使用详解
热门推荐
HarryChenj的专栏
11-12 6万+
vi /etc/sysconfig/iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙) -A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT(允许3306端口通过防火墙) 特别提示:很多网友把这两条规
Linux中iptables设置详细
如山石的系统虚拟化之路
12-30 484
无论如何,iptables是一个需要特别谨慎设置的东西,万一服务器不在你身边,而你贸然设置导致无法SSH,那就等着被老板骂吧,呵呵。。。 一下内容是为了防止这种情况发生而写的,当然很初级,不过一般服务器也够用了: 1.首先介绍一下指令和相关配置文件     启动指令:service iptables start        重启指令:service iptables rest
iptables 工具的使用
weixin_30271335的博客
09-14 143
试验建议:关闭CentOS 7 或 CentOS 6的防火墙 (systemctl stop firewalld ; systemctl disable firewalld 或 service iptables stop ; chkconfig iptables off) iptables -vnL --line-numbers iptables -A INPUT ...
iptables 学习总结--操作以及规则查找(二)
纵横四海的博客
06-02 890
查看raw mangle nat filter 其中的某张表的链的信息 例如查看表filterINPUT链的规则 [root@localhost ~]# iptables -t filter -L INPUT Chain INPUT (policy ACCEPT) target prot opt source destination AC...
iptables基本知识
weixin_34183910的博客
07-16 82
1)Linux下的防火墙概念a、一般谈到Linux下的防火墙,我们都会首先想到iptables,其实更确切的叫法应该是Netfilter/iptablesiptables和Netfilter其实是存在差别的。b、尽管它们经常被用来相互替换使用,Netfilter是用来实现Linux内核中防火墙的Linux内核空间程序代码段,它要么被直接编译进内核,要么被包含在模块中。c、而...
iptables最常用的规则示例
angou6476的博客
01-24 314
iptablesv1.4.21 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义...
linux iptables脚本
05-18
下面是一个简单的iptables脚本,可以阻止所有入站流量,允许所有出站流量: ``` #!/bin/bash # 清空所有规则 iptables -F # 设置默认策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值