RH9+adsl+squid+iptables的防火墙脚本,试验通过

最新推荐文章于 2021-04-27 19:42:37 发布
最新推荐文章于 2021-04-27 19:42:37 发布
阅读量539 收藏 1
点赞数
文章标签: 防火墙 脚本 tcp input output filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tengguang/article/details/1635252
版权
 RH9+adsl+squid+iptables的防火墙脚本,试验通过
说明:本人愚笨,历时2个星期,在我的机器上试验通过,有些功能比如说bad_tcp_packets过滤,有可能影响网络性能,同时x-window也不能运行了。有没有高手解释一下。大家看着办吧!欢迎提出宝贵的修改意见!让这个脚本成为一个完美的脚本。
ps:现在网上有很多朋友用redhat+adsl+squid+iptables上网,一加上网上的一些iptables规则,squid就无法使用,这个脚本解决了!
vi /etc/rc.d/firewall
#!/bin/sh

#启用转发(FORWARD)功能
# Enabling IP Forwarding......"
echo "Enabling IP Forwarding........"
echo 1 > /proc/sys/net/ipv4/ip_forward
#这一步不是很需要。
# Non-Required proc configration
#echo 1 > /proc/sys/net/ipv4/ip_dynaddr
#开始定义iptables
# Enabling iptables rules
# Internet Configuration.
INET_IF="ppp0"
#外网网卡
EXT_IF="eth0"
#内网网卡
LAN_IF="eth1"
LAN_IP="192.168.0.1"
LAN_IP_RANGE="192.168.0.0/24"
TRUSTED_TCP_PORT="22 25 53 80 110 143 443 3128 6000 6001 6002 7100"
# your LAN's IP range and localhost IP. /24 means to only use the first 24
# bits of the 32 bit IP address. the same as netmask 255.255.255.0
# Localhost Configuration.
LO_IF="lo"
LO_IP="127.0.0.1"
#加载模块,有些已经内建,为了以防万一,还是加上了
# Module loading.
echo "modprobe modules"
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# 规则初始化,设置为默认都为DROP
echo "Enabling iptables rules"
# Reset the default policies in the tables
iptables -F
iptables -X
iptables -F -t mangle
iptables -X -t mangle
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
# Set policies
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# 允许ping localhost,ping 192.168.0.1/2
# Allow loopback access
iptables -A INPUT -p icmp -i lo -j ACCEPT
iptables -A OUTPUT -p icmp -o lo -j ACCEPT
# 允许代理和内网客户机互相传输数据(包括ping)
# Allow ping LAN
iptables -A INPUT -p ALL -i $LAN_IF -s $LAN_IP_RANGE -j ACCEPT
iptables -A OUTPUT -p ALL -o $LAN_IF -d $LAN_IP_RANGE -j ACCEPT
# 允许外网的网卡与内网互相通讯。接收数据只接受响应封包,否则不予放行。发送数据没有限制。
# Allow ppp0
iptables -A INPUT -p ALL -i $INET_IF -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p ALL -o $INET_IF -j ACCEPT
# 建立用户定义的链
# Creat userspecified chains
iptables -N allowed
iptables -N tcp_packets
iptables -N bad_tcp_packets
iptables -N icmp_packets
# bad_tcp_packets规则链的作用是,将要求重新导向的联机记录起来,然后将封包丢弃(防止联机被绑架,但是会影响第三方交谈的服务,如MS Media Server)
# bad_tcp_packets chain
iptables -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
# allowed规则链的作用是:允许要求联机封包或响应封包进入,其余丢弃。
# allowed chain
iptables -A allowed -p tcp --syn -j ACCEPT
iptables -A allowed -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A allowed -p tcp -j DROP
# icmp_packets规则链的功能是:允许ping 封包进入,将其余封包丢弃。
# ICMP rules
iptables -A icmp_packets -p icmp -s 0/0 --icmp-type 8 -j ACCEPT
iptables -A icmp_packets -p icmp -s 0/0 --icmp-type 11 -j ACCEPT
# INPUT chain
# 进入防火墙主机的tcp封包必须先进行bad_tcp_packets过滤。但是有时候影响网络性能。
# first bad_tcp_packets filter
iptables -A INPUT -p tcp -j bad_tcp_packets
# 从外网进入防火墙主机的icmp封包必须先进行icmp_packets过滤。这是防止黑客传送不完整的ip封包,系统会响应icmp封包通知对方,导致主机位置被侦测出来。
# second icmp_packets filter
iptables -A INPUT -p icmp -i $INET_IF -j icmp_packets
# 打开信任的服务
# Open trusted ports
echo "Open trusted ports....."
iptables -N services
for PORT in $TRUSTED_TCP_PORT; do
iptables -A tcp_packets -s 0/0 -p tcp --dport $PORT -j allowed
done
iptables -A INPUT -p tcp -i $INET_IF -j tcp_packets
# 拒绝外部使用内网ip欺骗。
# deny local cheat
iptables -A INPUT -i $INET_IF -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i $INET_IF -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i $INET_IF -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i $INET_IF -s 127.0.0.0/8 -j DROP
# 从LAN进入防火墙主机的DHCP封包,予以放行,只有当防火墙担任DHCP时才有用
# allow DHCP_packets from LAN
iptables -A INPUT -p udp -i $LAN_IF --dport 67 --sport 68 -j ACCEPT
# 限制过滤规则的比对频率为每分钟平均流量三个封包(超过上限的封包将暂停比对),并将瞬间流量设定为一次最多处理三个封包(超过上限的封包将丢弃不予处理),这类封包通常是黑客用来进行阻断式攻击 
iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level INFO --log-prefix "IPT INPUT packets died:"

# FORWARD chain
# bad_tcp_packets filter
iptables -A FORWARD -p tcp -j bad_tcp_packets
# 从LAN到WAN的封包统统放行
iptables -A FORWARD -o $INET_IF -s $LAN_IP_RANGE -j ACCEPT
# same to above 和上面的规则功能相同
#iptables -A FORWARD -i $LAN_IF -s $LAN_IP_RANGE -j ACCEPT
# 从WAN到LAN的封包仅放行回应封包
iptables -A FORWARD -i $INET_IF -d $LAN_IP_RANGE -m state --state ESTABLISHED,RELATED -j ACCEPT
# 限制过滤规则的比对频率为每分钟平均流量三个封包(超过上限的封包将暂停比对),并将瞬间流量设定为一次最多处理三个封包(超过上限的封包将丢弃不予处理),这类封包通常是骇客用来进行阻断式攻击 
iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packets died:"
# 一下是防止PING
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
# 防止DDOS
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# UDP包一律放行
# allow UDP
iptables -A FORWARD -p udp -d $LAN_IP_RANGE -i $EXT_IF -j ACCEPT
# 将WWW服务转向Squid。
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
## iptables END
echo "Enabling Squid"
/usr/local/squid/sbin/squid
echo "Enabling ADSL"
adsl-start


Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=136031


 
tengguang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ADSL重拨脚本
05-24
需建立拨号网络链接 程序直接调用执行 即可断开adsl拨号网络 并重新拨号
这些脚本你都能写出来吗?RH033级别简单脚本
shinfocom
07-28 172
写一个脚本:1、创建目录/tmp/scripts2、切换工作目录至此目录中3、复制/etc/pam.d目录至当前目录,并重命令为test4、将当前目录中的test及其里面的文件和子目录的属主改为redhat5、将test及其子目录中的文件的其它用户的权限改为没有任何权限 写一个脚本:1、显示当前系统日期和时间,而后创建目录/tmp/lstest2、切换工作目录至/tmp/lstest3、创建目录a...
再次更改ADSL监控脚本
Robert's Log
03-31 658
前面写到ADSL断线后将拔号方式由"server network restart"改为"ifdown ppp0;ifup ppp0“后,发现断线重新拔号后,发现不能透过NAT上网,FTP到外部也不行了。想一想会不会防火墙脚本是不是在ifdown ppp0之后,没有起作用了?于是#iptables -L 果然,原来所设置的防火墙规则全部不见了。问题应该就出现在这里了,当ifdown ppp0之后,防
adsl脚本实现一键式拨号以及vnc一键式安装
Bingo的博客
04-27 307
需求分析: 基于adsl多拨安装步骤文档,若使用该文档进行拨号安装,需要手动执行的地方太多了,每执行一步,就需要运行相应的脚本,比较繁琐,容易混乱。 该脚本中所涉及到的功能在此脚本中均已实现,通过此脚本进行拨号可以大大减少出错的概率,以及减少相应的时间 操作细节: 1、将此脚本copy至对应服务器中 2、第一次拨号须在家目录下创建/adsl_test目录,进入目录,创建 1.txt 文件(该文件是第一次拨号文件) 3、删除多余拨号资源须在/adsl_test/3.txt 文件中写入需要删除的账号 (
透明防火墙架设的完全攻略(bridge+iptablessquid)
08-10
绍透明防火墙架设的完全攻略(bridge+iptablessquid)
RH Linux下Iptables+Squid2.6透明代理+防火墙配置
07-26
在Redhat Linux中,Iptalbes和Squid透明代理加防火墙的搭配配置是最常见的组合,也是非常实用的,下面就是详细的配置信息。
RHEL5下Squid+IPtables经典案例(透明代理+防火墙配置
08-01
RHEL5下Squid+IPtables经典案例(透明代理+防火墙配置
squid+iptables透明代理配置詳解
12-28
squid+iptables+nat透明代理配置詳解,有示例供參考,可供LINUX初學者參考
Linux+下Squid安装步骤
05-30
1.Net-snmp 获取与安装 2.Net-snmp 的配置 3.Net-snmp 常用命令 Squid 1.检查linux是否存在squid老版本 2.Squid 获取与安装 3.Squid 配置 4.Squid 测试 ...9.Squid命中率分析 10.Squid 排错
java adsl 拨号_[zt]利用脚本实现ADSL自动拨号上网
weixin_29075633的博客
02-16 413
我家使用ADSL拨号上网,每次需要上网的时候,都需要双击一下“宽带上网”的图标,然后在弹出的对话框上点击“确认”,方可上网。我一向是个懒人,非常讨厌这样一次次的手工操作,有什么办法实现自动拨号呢?一般来说,微软那些用界面实现的东西,后台其实还是一系列的脚本或者是配置命令。那么,我只要找到“宽带上网”的配置文件所在,应该就可以了。首先查看“网络连接”里面的“宽带上网”的属性,找不出什么有帮助的信息。...
基于adsl线路的***拨号脚本
weixin_34248118的博客
02-25 125
基于adsl线路的***拨号脚本 单独拨号adsl很简单 在linux下单独拨***也不难. 我将两者结合起来 并添加了监控脚本 adsl.sh用于adsl拨号 ***-adsl.sh用于***拨号 ***-monitor.sh用于监控***线路是否联通 是否好用有待实践检验. 转载于:https://blog.51cto.com...
ADSL动态IP策略路由脚本(附详解)
weixin_34112900的博客
09-14 195
以下脚本是根据louyc 的ROS下多ADSL and DDNSupdate动态域名脚本改编的,已经测试通过,大家使用时不需要做任何修改,只要确保各ADSL以及网卡名不要相同就可以直接使用,使用过程中增加新ADSL和禁止ADSL开放ADSL都能自动更新,就是删除ADSL时需要手工删除相应IP及路由。因本人网络技术很菜,脚本写的不好,不要扔鸡蛋,俺再修改,对负载均衡的实现...
单linux服务器同时拨多条ADSL和挂多个固定公网ip通过squid实现代理池方案
xuyaqun的专栏
02-13 9672
背景: 大数据时代,谁拥有数据谁才能有美好未来,很多互联网公司本身并不产生数据,怎么办?抓数据,对抓数据,所以在目前巨大的网络流量中有相当一部分是爬虫流量,如搜索引擎蜘蛛、抓取电商网站的商品数据的爬虫等。如本文开始所述,数据即未来,我的数据凭什么让你抓,所以会对用户访问做一些访问频次限制,超过设定就拉黑(如封ip、封特定user agent、封url等),但这也只是做频次限制而已,并没有完全
iptables基础和应用(3)(转)
ciya3282的博客
08-13 109
iptables基础和应用(3)(转)[@more@]   #   # 4.1.1 Set policies   # 定义安全政策为正面表列   $IPTABLES -P INPUT DROP   $IPTABLES ...
iptables高级规则
睨噷蹇蜣的博客
12-11 1685
iptables高级部分 扩展匹配 man iptables /MATCH EXTENSIONS 扩展动作 man iptables /TARGET EXTENSIONS netfilter不只是包过滤防火墙(四层) netfilter同样是状态防火墙 一、扩展匹配 MATCH EXTENSIONS 获得帮助: [root@uplo...
2010考研管理类联考综合能力答案解析.pdf
最新发布
04-24
考研管理类联考综合能力答案解析,考研真题,考研历年真题,考研管理类联考历年真题,真题解析。
NumPy Matplotlib Matplotlib 是 Python 的绘图库 .zip
04-24
matplotlib绘图 通过 Matplotlib,开发者可以仅需要几行代码,便可以生成绘图、直方图、功率谱、条形图、错误图、散点图等。 Matplotlib基础知识 1.Matplotlib中的基本图表包括的元素 x轴和y轴 水平和垂直的轴线 x轴和y轴刻度 刻度标示坐标轴的分隔,包括最小刻度和最大刻度 x轴和y轴刻度标签 表示特定坐标轴的值 绘图区域 实际绘图的区域 2.hold属性 hold属性默认为True,允许在一幅图中绘制多个曲线;将hold属性修改为False,每一个plot都会覆盖前面的plot。 但是不推荐去动hold这个属性,这种做法(会有警告)。因此使用默认设置即可。 3.网格线 grid方法 使用grid方法为图添加网格线 设置grid参数(参数与plot函数相同) .lw代表linewidth,线的粗细 .alpha表示线的明暗程度 4.axis方法 如果axis方法没有任何参数,则返回当前坐标轴的上下限 5.xlim方法和ylim方法 除了plt.axis方法,还可以通过xlim,ylim方法设置坐标轴范围
毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档)
04-24
毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档) 毕业设计:基于微信小程序大学校园二手教材与书籍拍卖系统(源码 + 数据库 + 说明文档) 第二章 需求分析 4 2.1可行性分析 4 2.1.1技术的可行性 4 2.1.2经济的可行性 4 2.1.3操作可行性 4 2.2需求调研 4 第三章 数据库设计 6 3.1数据库的分析与设计 6 3.1.1数据库的概念结构设计 6 3.1.2数据表的逻辑结构设计 7 第四章 系统功能实现 8 4.1 系统后台界面 8 4.2书籍类别管理 8 4.3 书籍信息界面 9 4.4竞拍管理界面 9 4.5 微信小程序首页 9 4.6书籍信息添加 10 4.7书籍竞拍界面 11 4.8用户后台界面 11 第五章 系统测试 12 5.1 系统测试的意义 12 5.2 系统测试的内容 12 5.3系统测试结果 12 总结 13
a * mutton + patato * b + squid * c + steamedbun * d
06-11
这看起来是一个数学公式,其中a、b、c、d可能代表一些数值,而mutton、potato、squid、steamedbun可能代表一些系数或常量。根据这个公式,你可以计算出一个结果,具体的计算方法是将每个变量的值乘上它对应的系数,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值