iptables + squid脚本

最新推荐文章于 2019-07-04 08:48:00 发布
最新推荐文章于 2019-07-04 08:48:00 发布
阅读量436 收藏
点赞数
分类专栏: LINUX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hawht/article/details/22682147
版权
为公司代理服务器写的脚本,还没有测试,等测试OK后再修改!!!
看到的朋友先不要照抄噢.

nat.sh
#!/bin/bash
# 说明:
# a. 这个程式主要用来进行简易 NAT 的功能的!使用的模组为 iptables 。
# b. 执行的方式为:
#    将档案放在 /usr/local/nat 底下,档名为 nat.sh (范例)
#    chmod 744 /usr/local/nat/nat.sh
#    /usr/local/nat/nat.sh
# c. 或者是直接在开机时启动,可以使用:
#    vi /etc/rc.d/rc.local
#    写入最後一行为: /usr/local/nat/nat.sh
# d. Made by VBird 2002/08/14
###########################################################################

# 0. 请输入你的叁数值:
EXIF='ppp0'             # 这个是对外的介面,如果是 cable ,则可能为 eth0!
INIF='eth0'
EXNET='172.16.3.0/24'  # 这个是对内的网域!这里我只设定一个网域而已!
export EXIF INIF EXNET

#开启TCP Flooding 的DOS攻击抵挡机制
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
#取消ping广播的回应
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#开启逆向路径过滤,以符合IP封包与网路介面的设定
for i in /proc/sys/net/ipv4/conf/*/rp_filter;
do
 echo "1" > $i
done
  # record some problems packets.
for i in /proc/sys/net/ipv4/conf/*/log_martians;
do
 echo "1" > $i
done
  # 取消重新宣告路径的功能。
for i in /proc/sys/net/ipv4/conf/*/accept_redirects; do
 echo "0" > $i
done
  # 取消传送重新宣告路径的功能。
for i in /proc/sys/net/ipv4/conf/*/send_redirects; do
 echo "0" > $i
done

# 1. 宣告变数、消除规则及开放lo:
  PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
  export PATH
  /sbin/iptables -F
  /sbin/iptables -X
  /sbin/iptables -Z
  /sbin/iptables -P INPUT   DROP
  /sbin/iptables -P OUTPUT  ACCEPT
  /sbin/iptables -P FORWARD ACCEPT
  /sbin/iptables -A INPUT -i lo -j ACCEPT
  /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#  /sbin/iptables -A INPUT -i $INIF -j ACCEPT
  /sbin/iptables -A INPUT -i $EXIF -s 192.168.1.0/24 -j DROP
  /sbin/iptables -A INPUT -i $EXIF -s 10.0.0.0/8 -j DROP
  /sbin/iptables -A INPUT -i $EXIF -s $EXNET -j DROP
  /sbin/iptables -A INPUT -i $EXIF -s 127.0.0.0/8 -j DROP
#限制QQ
  /sbin/iptables -A FORWARD -p udp -i $INIF --dport 8000 -j DROP
#对於不管来自哪里的ip碎片都进行控制,允许每秒通过100个碎片
  /sbin/iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
#ICMP包通过控制,防止ICMP黑客攻击
  /sbin/iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
  /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#允许某些类型的ICMP包进入  
  AICWP="0 3 3/4 4 11 12 14 16 18"
  for tyicmp in $AICWP
  do
    /sbin/iptables -A INPUT -i $EXIF -p icmp --icmp-type $tyicmp -j ACCEPT
  done
#  /sbin/iptables -A INPUT -p TCP -i $EXIF --dport 22 -j ACCEPT        #SSH
#  /sbin/iptables -A INPUT -p TCP -i $EXIF --dport 25 -j ACCEPT        #SMTP
#  /sbin/iptables -A INPUT -p UDP -i $EXIF --dport 53 -j ACCEPT        #DNS
#  /sbin/iptables -A INPUT -p TCP -i $EXIF --dport 53 -j ACCEPT        #DNS
#  /sbin/iptables -A INPUT -p TCP -i $EXIF --dport 80 -j ACCEPT        #WWW
#  /sbin/iptables -A INPUT -p TCP -i $EXIF --dport 110 -j ACCEPT        #POP3
#  /sbin/iptables -A INPUT -p TCP -i $EXIF --dport 113 -j ACCEPT        #AUTH
#  /sbin/iptables -A FORWARD -p tcp --dport 4444 -j DROP
#  /sbin/iptables -A FORWARD -p udp --dport 4444 -j DROP
#  /sbin/iptables -A FORWARD -p tcp --dport 445 -j DROP
#  /sbin/iptables -A FORWARD -p udp --dport 445 -j DROP
#  /sbin/iptables -A FORWARD -p tcp --dport 69 -j DROP
#  /sbin/iptables -A FORWARD -p udp --dport 69 -j DROP
#  /sbin/iptables -A FORWARD -p tcp --dport 139 -j DROP
#  /sbin/iptables -A FORWARD -p udp --dport 139 -j DROP
#  /sbin/iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
#  /sbin/iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
#  /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#开始针对後端主机的防火墙议定
# 2. 载入模组啦!
  modprobe ip_tables
  modprobe iptable_nat
  modprobe ip_nat_ftp
  modprobe ip_nat_irc
  modprobe ip_conntrack
  modprobe ip_conntrack_ftp
  modprobe ip_conntrack_irc
  /sbin/iptables -F -t nat
  /sbin/iptables -X -t nat
  /sbin/iptables -Z -t nat
  /sbin/iptables -t nat -P POSTROUTING ACCEPT
  /sbin/iptables -t nat -P PREROUTING  ACCEPT
  /sbin/iptables -t nat -P OUTPUT      ACCEPT
# 3. 启动 IP 伪装:
  echo "1" > /proc/sys/net/ipv4/ip_forward
  /sbin/iptables -t nat -A POSTROUTING -s $EXNET -o $EXIF -j MASQUERADE
  /sbin/iptables -t nat -A PREROUTING -i $INIF -p TCP -s $EXNET --dport 80 -j REDIRECT --to-ports 3128
  /sbin/iptables -A INPUT -p TCP -i $INIF --dport 3128:3130 -j ACCEPT

<script type=text/javascript charset=utf-8 src="http://static.bshare.cn/b/buttonLite.js#style=-1&uuid=&pophcol=3&lang=zh"></script> <script type=text/javascript charset=utf-8 src="http://static.bshare.cn/b/bshareC0.js"></script>
阅读(1058) | 评论(0) | 转发(0) |
0

上一篇:iptables TIPS

下一篇:[ZT]网管基本功:企业中IP地址的规划

相关热门文章
给主人留下些什么吧!~~
评论热议
u014461454
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Squid安装及详细配置.
12-12
3. **编译配置**:进入解压后的目录,执行配置脚本进行编译前的准备。 - `cd squid-2.7.STABLE9` - `../configure --enable-kill-parent-hack --enable-large-cache-files --with-large-files --with-maxfd=344800...
iOS简历冯宋林1
08-08
2. **Web服务配置**:他精通Apache、Nginx和Tomcat的配置,能够在Linux环境下部署多种服务,包括DNS、HTTPD、Tomcat、VSFTPD、Nginx、Samba、NFS、IptablesSquid和DHCP。 3. **脚本编写和Java**:冯宋林能编写简单...
linux+squid+iptables企业方案
wayne1981的专栏
04-21 1072
 01、允许部分人可以访问Internet,但是不能下载; 02、允许部分人可以下载; 03、允许部分人完全没有限制; 04、允许全体人员在固定时间,有部分限制,不在此时间之内,撤除限制; 05、不允许下载的特定url字符:exe/zip等等; 06、不允许访问特定的站点; 07、透明代理与用户认证共存; 08、允许部分人员只能浏览指定网站; 09、只允许收发邮件(所有域名邮件(smtp,pop3
squid+iptables实现透明代理
weixin_34008805的博客
08-05 418
NAT网络地址转换(网络地址映射)就是把数据包的源IP或者目标IP进行修改。作用:修改源IP,叫源地址映射,一般为了实现让私有网络的机器能够访问互联网修改目标IP,叫目标地址映射,一般为了实现让互联网的机器能够访问私有网络的机器。可以保护内网的资源。clients<---- eth0:Router:eth1 -----> 互联网clients eth010....
squid+iptables实现网关防火墙
weixin_30517001的博客
07-04 209
需求说明:此服务器用作网关、MAIL(开启web、smtp、pop3)、FTP、DHCP服务器,内部一台机器(192.168.0.254)对外提供dns服务,为了不让无意者轻易看出此服务器开启了ssh服务器,故把ssh端口改为2018.另把proxy的端口改为60080 eth0:218.28.20.253,外网口 eth1:192.168.0.1/24,内网口 [jackylau@prox...
我的squid+iptables设置
Robert's Log
03-31 696
搞了半天,也在不知不觉中做好,也不知怎么做好的:)希望对每个初始配置squid的朋友有所帮忙吧,也希望有对iptables熟悉的朋友帮忙在安全方面做一下改动 环境:redhat 9.0 +squid+iptables(9.0附带)一,IP的设置:eth0是连接内网的, eth1是连接ADSL的[root@ADSLserver network-scripts]# cat ifcfg-eth0DEVI
squid+iptables实现http代理
webcenterol
10-09 414
squid简介 squid是一缓存internet数据饿软件,它接受用户的瞎子申请,并自动处理所下载的数据 也就是说,当一个用户要下载一个主页时,它向squid发吹个申请,要qsuid替他下载,然后 squid链接所申请网站给in并请求该主页,接着把该主页传给用户的同时保留一个备份 当别的用户申请同样的页面时,squid把保留的备份立即传给用户,使用户觉得速度相当快 对于Web用...
Nat+Iptables+Squid脚本
静以修身,俭以养德!
10-11 371
<br />Nat+Iptables+Squid脚本<br />#!/bin/bash<br /># 飘飘的风于2003年7月26日修改,端口影射成功。<br />###--------------------------------------------------------------------###<br />#以下是定义变数<br />###--------------------------------------------------------------------###<br /
iptables+squid经典配置实例,squid经典配置实例,iptables经典配置实例
weixin_33815613的博客
02-10 241
iptables+squid经典配置实例实验背景 小诺公司内部搭建了web服务器和FTP服务器,为了满足公司需求,要求使用Linux构建安全、可靠的防火墙。具体要求如下:1、 防火墙自身要求安全、可靠,不允许网络中任何人访问;防火墙出问题,只允许在防火墙主机上进行操作。2、 公司内部的web服务器要求通过地址映射发布出去,且只允许外部网络用户访问web服务器的80端...
iptables+squid透明代理+防火墙终极配置
思想时光机
10-10 1051
以前做的一个 iptables+squid 出了问题,配置文件损坏了,发现再写一个还挺麻烦的,这里保存了一个挺好的文章,备查。iptables+squid透明代理+防火墙终极配置 系统:CentOS4.2,三块网卡,两个内网,一个外网。双至强,2GHz,2GB内存。服务器主要开了squid,sshd,其他的一律闭掉了。eth0:192.168.100.1eth
Squid代理服务器的搭建[整理].pdf
10-12
防火墙脚本可能包含开启特定端口的指令,如`iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128`,然后执行防火墙脚本并检查规则是否生效。 6. **客户机设置**: 在客户机上,用户可以...
学好unix:Linux 系统疑难解答之98式(八)
08-18
关键在于Linux内核需支持ipchains(或iptables)。编写规则脚本,清空防火墙规则,设置默认策略,并定义允许的内外网通信规则。例如,设定外部接口为1.2.3.4,内部接口为192.168.9.1,允许本地回环接口的通信,禁止...
上海Linux运维工程师-面试题-个人总结).pdf
06-21
10. **IPTABLES配置**:通过IPTABLES设置NAT规则,实现内网到公网的端口映射。 11. **Web服务器对比**:Apache的模块丰富但资源消耗大;Nginx高性能、低资源消耗,适合高并发场景;Tomcat用于Java应用,轻量级;IIS...
成功使用squidiptables配置透明代理 (zt)
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
03-06 6973
硬件HP DL145:Opteron×2,AMD8111/8131芯片组,1GB内存,Redhat EL Advanced Server 4 for i386。 首先根据从网上找到的资料配置: squid和iptable的具体安装我在此不做太多说明,一般看看它们的说明即可。我公司用一台机器作为代理上网。eth0连接外部网,eth1连接内部网。下面把我的配置写下来。 iptable的配置,在/etc
基于贝叶斯网络BO-Transformer-BiLSTM实现负荷数据回归预测附matlab代码.rar
07-27
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
易语言 - 易语言我的世界3D源码
最新发布
07-27
易语言我的世界3D源码
avif-0.5.0-cp37-cp37m-manylinux2010_i686.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
pillow-10.4.0-pp310-pypy310_pp73-macosx_11_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
iptables+黑名单
10-23
iptables是Linux系统中的一个强大的防火墙工具,可以用于过滤网络数据包,实现网络安全控制。黑名单是一种常见的网络安全控制手段,可以通过将某些IP地址或者端口列入黑名单,来限制这些IP地址或者端口的访问。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值