凑合着用吧,抽空完善,还需要弄点脚本处理病毒
#/bin/bash #
#Description: the scripts is used to detect internal network
#1 Define interface
IXP1="222.a.a.a"
IXP0="222.b.b.b"
#2 insert modules
#modprobe ip_tables
#modprobe iptable_conntrack
#modprobe iptable_contrack_ftp
#modprobe ip_LOG
#3 default policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#4 input chain
iptables -A INPUT -p tcp --dport 22 -s 222.c.c.c -j ACCEPT
iptables -A INPUT -p icmp -s 222.d.d.d -j ACCEPT
#dns
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
#5 output chain
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
#dns
iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#6 FORWARD chain
#Huada
#out--->in
iptables -A FORWARD -p tcp --dport 2000 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p udp --dport 10010 -i ixp1 -o ixp0 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 2000 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p udp --sport 10010 -i ixp1 -o ixp0 -j ACCEPT
#caiwu
iptables -A FORWARD -p tcp --dport 19876 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p tcp --sport 19876 -i ixp1 -o ixp0 -j ACCEPT
#POS
#out--->in
iptables -A FORWARD -p tcp --dport 9191:9199 -i ixp1 -o ixp0 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 9191:9199 -i ixp0 -o ixp1 -j ACCEPT
#http,www
#out--->in
iptables -A FORWARD -p tcp --dport 80 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4500 -i ixp1 -o ixp0 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 80 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p tcp --sport 8080 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p tcp --sport 4500 -i ixp0 -o ixp1 -j ACCEPT
#ftp
#out--->in
iptables -A FORWARD -p tcp --dport 21 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p tcp --sport 21 -i ixp0 -o ixp1 -j ACCEPT
#trust--->dmz 3389
#in--->out
iptables -A FORWARD -p tcp --dport 3389 -i ixp0 -o ixp0 -j ACCEPT
#out--->in
iptables -A FORWARD -p tcp --sport 3389 -i ixp0 -o ixp0 -j ACCEPT
#trust--->dmz 135-139
#out--->in
iptables -A FORWARD -p tcp --dport 135:139 -i ixp0 -o ixp0 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 135:139 -i ixp0 -o ixp0 -j ACCEPT
#pop3,smtp
#out--->in
iptables -A FORWARD -p tcp --dport 110 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -i ixp1 -o ixp0 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 110 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -i ixp0 -o ixp1 -j ACCEPT
#rsa tcp 1645
#out--->in
iptables -A FORWARD -p tcp --dport 1645 -i ixp1 -o ixp0 -j ACCEPT
iptables -A FORWARD -p udp --dport 1645 -i ixp1 -o ixp0 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 1645 -i ixp0 -o ixp1 -j ACCEPT
iptables -A FORWARD -p tcp --sport 1645 -i ixp0 -o ixp1 -j ACCEPT
#esp&udp,IKE
#esp
iptables -A FORWARD -p 50 -j ACCEPT
#out--->in
iptables -A FORWARD -p udp --dport 65264 -j ACCPET
iptables -A FORWARD -p udp --dport 500 -j ACCEPT
#in--->out
iptables -A FORWARD -p udp --sport 65264 -j ACCEPT
iptables -A FORWARD -p udp --sport 500 -j ACCEPT
#igmp
iptables -A FORWARD -p igmp -j ACCEPT
#Windows virus And dangerous
#iptables -A FORWARD -p tcp --dport 1433 -j DROP
#iptables -A FORWARD -p tcp --sport 1433 -j DROP
#iptables -A FORWARD -p tcp --dport 135 -j DROP
#iptables -A FORWARD -p tcp --sport 135 -j DROP
#iptables -A FORWARD -p tcp --dport 139 -j DROP
#iptables -A FORWARD -p tcp --sport 139 -j DROP
#iptables -A FORWARD -p tcp --dport 445 -j DROP
#iptables -A FORWARD -p tcp --sport 445 -j DROP
#ldap
#out--->in
iptables -A FORWARD -p tcp --dport 3268 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 3268 -j ACCEPT
#smc
#out--->in
iptables -A FORWARD -p tcp --dport 6666 -j ACCEPT
iptables -A FORWARD -p tcp --dport 7777 -j ACCEPT
#in--->out
iptables -A FORWARD -p tcp --sport 6666 -j ACCEPT
iptables -A FORWARD -p tcp --sport 7777 -j ACCEPT
#ntp,relax
iptables -A FORWARD -p tcp --dport 123 -j ACCEPT
iptables -A FORWARD -p tcp --sport 123 -j ACCEPT
留个备份:
对于/proc/net/ip_conntrack
找出有病毒的连接:
cat /proc/net/ip_conntrack |grep UNREP|awk -F= {' print $2 '} |awk {' print $1 '} /
|sort|uniq -c|sort
如果定义超过20条连接就算病毒,那就好办咯...
再单独给两个不受限制的ip自己玩,hoho...