linux下防火墙配置,linux下防火墙配置

最新推荐文章于 2024-05-28 20:06:05 发布
最新推荐文章于 2024-05-28 20:06:05 发布
阅读量145 收藏
点赞数
文章标签: linux下防火墙配置

#!/bin/sh

#

#############################################################################

#

# File: iptables.sh

#

# Purpose: To build a basic iptables policy with default log and drop rules.

# This script was written for the book "Linux Firewalls: Attack

# Detection and Response" published by No Starch Press.

#

# Copyright (C) 2006-2009 Michael Rash (mbr@cipherdyne.org)

#

# License (GNU Public License):

#

# This program is distributed in the hope that it will be useful,

# but WITHOUT ANY WARRANTY; without even the implied warranty of

# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the

# GNU General Public License for more details.

#

# You should have received a copy of the GNU General Public License

# along with this program; if not, write to the Free Software

# Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307

# USA

#

#

#############################################################################

#

# $Id: index.html 2884 2010-08-23 01:52:49Z mbr $

#

IPTABLES=/sbin/iptables

IP6TABLES=/sbin/ip6tables

MODPROBE=/sbin/modprobe

INT_NET=192.168.10.0/24

### flush existing rules and set chain policy setting to DROP

echo "[+] Flushing existing iptables rules..."

$IPTABLES -F

$IPTABLES -F -t nat

$IPTABLES -X

$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT DROP

$IPTABLES -P FORWARD DROP

### this policy does not handle IPv6 traffic except to drop it.

#

echo "[+] Disabling IPv6 traffic..."

$IP6TABLES -P INPUT DROP

$IP6TABLES -P OUTPUT DROP

$IP6TABLES -P FORWARD DROP

### load connection-tracking modules

#

$MODPROBE ip_conntrack

$MODPROBE iptable_nat

$MODPROBE ip_conntrack_ftp

$MODPROBE ip_nat_ftp

###### INPUT chain ######

#

echo "[+] Setting up INPUT chain..."

### state tracking rules

$IPTABLES -A INPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options

$IPTABLES -A INPUT -m state --state INVALID -j DROP

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### anti-spoofing rules

$IPTABLES -A INPUT -i eth1 -s ! $INT_NET -j LOG --log-prefix "SPOOFED PKT "

$IPTABLES -A INPUT -i eth1 -s ! $INT_NET -j DROP

### ACCEPT rules

$IPTABLES -A INPUT -i eth1 -p tcp -s $INT_NET --dport 22 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

### default INPUT LOG rule

$IPTABLES -A INPUT -i ! lo -j LOG --log-prefix "DROP " --log-ip-options --log-tcp-options

### make sure that loopback traffic is accepted

$IPTABLES -A INPUT -i lo -j ACCEPT

###### OUTPUT chain ######

#

echo "[+] Setting up OUTPUT chain..."

### state tracking rules

$IPTABLES -A OUTPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options

$IPTABLES -A OUTPUT -m state --state INVALID -j DROP

$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### ACCEPT rules for allowing connections out

$IPTABLES -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --dport 25 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --dport 43 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --dport 443 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --dport 4321 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT

$IPTABLES -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

$IPTABLES -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

### default OUTPUT LOG rule

$IPTABLES -A OUTPUT -o ! lo -j LOG --log-prefix "DROP " --log-ip-options --log-tcp-options

### make sure that loopback traffic is accepted

$IPTABLES -A OUTPUT -o lo -j ACCEPT

###### FORWARD chain ######

#

echo "[+] Setting up FORWARD chain..."

### state tracking rules

$IPTABLES -A FORWARD -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options

$IPTABLES -A FORWARD -m state --state INVALID -j DROP

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

### anti-spoofing rules

$IPTABLES -A FORWARD -i eth1 -s ! $INT_NET -j LOG --log-prefix "SPOOFED PKT "

$IPTABLES -A FORWARD -i eth1 -s ! $INT_NET -j DROP

### ACCEPT rules

$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 21 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 22 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 25 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 43 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A FORWARD -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A FORWARD -p tcp --dport 443 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 4321 --syn -m state --state NEW -j ACCEPT

$IPTABLES -A FORWARD -p tcp --dport 53 -m state --state NEW -j ACCEPT

$IPTABLES -A FORWARD -p udp --dport 53 -m state --state NEW -j ACCEPT

$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT

### default LOG rule

$IPTABLES -A FORWARD -i ! lo -j LOG --log-prefix "DROP " --log-ip-options --log-tcp-options

###### NAT rules ######

#

echo "[+] Setting up NAT rules..."

$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.10.3:80

$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -i eth0 -j DNAT --to 192.168.10.3:443

$IPTABLES -t nat -A PREROUTING -p udp --dport 53 -i eth0 -j DNAT --to 192.168.10.4:53

$IPTABLES -t nat -A POSTROUTING -s $INT_NET -o eth0 -j MASQUERADE

###### forwarding ######

#

echo "[+] Enabling IP forwarding..."

echo 1 > /proc/sys/net/ipv4/ip_forward

exit

### EOF ###

修言哥哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux防火墙配置
weixin_41038905的博客
03-08 4960
** 简介 ** 简单来说Netfilter管网络,selinux管本地。SELinux则可以理解为是作为Linux文件权限控制(即我们知道的rwx)的补充存在的 1、iptables是Linux下功能强大的应用层防火墙工具。iptables是用于设置防火墙,防范来自网络的入侵和实现网络地址转发、QoS等功能。说到iptables必然提到Netfilter,iptables是应用层的,其实质是一个...
Linux防火墙配置实例
01-09
 iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。 IPTABLES的设置情况  iptables -L -n  删除已有规则  iptables -F  屏蔽指定ip 有时候我们发现某个ip不停的往服务器发包,这时我们...
linux 防火墙配置
just_a_litte_body的博客
10-11 169
centos7版本对防火墙进行 加强,不再使用原来的iptables,启用firewall 配置文件 /etc/firewalld/zones/public.xml 可以查看已经配置的端口 1.查看已开放的端口(默认不开放任何端口) firewall-cmd --list-ports 查看firewalld状态 systemctl status firewalld 2.开启80端口 ...
Linux防火墙(以iptables为例)
最新发布
Tassel_YUE的博客
05-28 1300
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
linux防火墙配置
不会飞的鱼、
01-13 1066
centos7防火墙 firewalld是centos7系统默认的防火墙,和iptables一样,是使用系统中netfilter内核模块的管理工具。 firewall-cmd [--zone=] --add-port=[-]/ [--timeout=] 此举将启用端口和协议的组合。 端口可以是一个单独的端口 或者是一个端口范围 -。 协议可以是 tcp 或 udp 对于一个接受到的请求具体使用哪个zone,firewalld是通过三种方法来判断的: 1、source,也就是源地址 优先级最高
Linux系统如何修改防火墙配置
09-14
主要介绍了Linux系统如何修改防火墙配置,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Linux防火墙及其配置.ppt
11-16
Linux防火墙及其配置.ppt
Linux防火墙配置SNAT教程(1)
01-10
 (防火墙配置-访问外网WEB:linux防火墙配置教程之访问外网web实验(3) ) 2、SNAT(source network address translation)  源地址转换,其作用是将ip数据包的源地址转换成另外一个地址,俗称IP地址欺骗或伪装 ...
LINUX防火墙的研究与实现(详细配置
01-10
1.3 设计与实现Linux防火墙的缘起与目标 13 第2章 使用防火墙构造安全的解决方案 15 2.1 堡垒主机或双穴主机网关 15 2.2 被屏蔽主机网关 16 2.3 被屏蔽子网 16 第3章 Linux防火墙技术 18 3.1 Linux 防火墙技术的发展...
公司局域网搭建pkt文件部分配置
12-18
思科配置防火墙是路由器代替,有视频配置教程,私信q281692217,有意聊,配置过程挺麻烦-课程大作业,加q给
Linux防火墙配置
FanGer的博客
06-29 1万+
【收藏】CentOS7防火墙默认使用的是firewall,Centos 6.x使用iptables。# 查看防火墙状态 # 停止防火墙 # 启动防火墙 # 重启防火墙 # 永久关闭防火墙 # 永久关闭后重启 2、开启80端口 # 加入如下代码 保存退出后重启防火墙 二、【firewall】防火墙 1、查看firewall服务状态 出现Active: active (running)切高亮显示则表示是启动状态。出现 Active: inactive (dead)灰色表示停止,看单词也行。 3、开启、重启、
Linux防火墙配置
vivlol918的博客
04-24 4761
Firewalld作为Linux操作系统的很好的一个防火墙,可以保护服务器免受恶意攻击。
[linux]防火墙配置
second60的博客
10-30 722
linux防火墙配置 second60  20181030   1.配置文件 路径: /etc/sysconfig/iptables 内容: # sample configuration for iptables service # you can edit this manually or use system-config-firewall # please do not ask...
linux防火墙配置,linux防火墙配置
weixin_35677144的博客
05-12 165
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?如果大家是使用一键环境(如:lnmp.org),有时候防火墙会被设置成正式环境一样,当你是用作测试服务器的时候,这样就很不方便了。 因此,在这里记录一下linux防火墙配置: 地址是:/etc/sysconfig/iptables# Firewall configuration written by system-c...
Linux 防火墙配置(iptables和firewalld)
热门推荐
m0_49864110的博客
02-21 2万+
iptables和firewaldl都只是linux防火墙的管理程序,真正的防火墙执行者是位于内核的netfilter,只不过firwalld和iptables的结果以及使用方法不一样。当创建的规则内容与已有规则一致时,不会覆盖原先的规则,会直接加入到现有规则链中(即此时此规则链下有两条一摸一样的规则,只是顺序不同)以上关于防火墙配置是runtime模式,即配置成功后立即生效,但是重启后会失效(需要将配置保存,重启后才不会失效)处理出站的数据包(处理源是本机的数据包,一般不在此链上做规则)
Linux iptables防火墙配置详解与应用
Linux防火墙配置是保障网络安全的关键措施,特别是在互联网日益复杂的大环境下。本资源是一份关于Linux系统中的iptables防火墙配置的PPT,它深入讲解了iptables在Linux安全策略中的重要角色。iptables是Linux内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值