QQ登录

只需一步,快速开始

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 850|回复: 4

大家看我前后两个iptables的脚本,请教版主等高手们

[复制链接]
发表于 2005-8-17 13:19:37 | 显示全部楼层 |阅读模式
这份脚本是先前的!我执行这份后我的内网可以上网了,相应的samba,dns,http,dns,vpn,dhcp,qmail服务也正常!但我发现安全系数不高,所以就写了第二份脚本!大家先看我的第一分脚本:
说明:eth1是内网!eth0是外网也就是ppp0
echo '1'>/proc/sys/net/ipv4/ip_forward
iptables -F
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m multiport --dports 443,139,80,21,53,110,25 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -m multiport --dports 138,137,67,53 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -m multiport --dports 110,80,25 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level INFO --log-prefix "IPT INPUT packet died: "
iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "
iptables -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

接着看我的第二份脚本:我执行这分脚本后内网就不能上网了!我看了很多次脚本内容,没找到要怎么做,麻烦大家帮忙
iptables -N bad_tcp_packets
iptables -N allowed
iptables -N icmp_packets
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-level INFO --log-prefix "New not syn:"
iptables -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP
iptables -A allowed -p TCP --syn -j ACCEPT
iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A allowed -p TCP -j DROP
iptables -A INPUT -p tcp -j bad_tcp_packets
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m multiport --dports 443,139,80,21,53,110,25 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -m multiport --dports 138,137,67,53 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -m multiport --dports 110,80,25 -j ACCEPT
iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level INFO --log-prefix "IPT INPUT packet died: "
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
iptables -A FORWARD -p TCP -j bad_tcp_packets
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "
iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -p ALL -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -o ppp0 -j ACCEPT
iptables -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died:
发表于 2005-8-17 21:38:38 | 显示全部楼层
一个字:乱。

不知你是如何“发现安全系数不高”的?


逻辑不清晰=不安全,不知你同意否
回复

使用道具 举报

 楼主| 发表于 2005-8-18 12:30:01 | 显示全部楼层
[quote:4d3d0d741d="dannycat"]一个字:乱。

不知你是如何“发现安全系数不高”的?


逻辑不清晰=不安全,不知你同意否[/quote]


你认为第一个的安全系数高吗?
第一,可能你没有遇到过,我的服务器一天会挂好几次,我是用iptraf看到的来自内网的imcp攻击!没几分钟就挂 ,如果我拔了网线,系统正常!
第二,我现在要的是限制内网的连接,只允许他们发邮件收邮件和看网页!其它不管是什么协议都不允许进入和通过服务器!
第三,限制外网vpn连接的流量和监控他们的行为,vpn连接让我一公司的服务器也跟着挂!

当然,还请你指教!
回复

使用道具 举报

发表于 2005-8-18 14:25:24 | 显示全部楼层
allowed这个chains在你的里面有用吗?
回复

使用道具 举报

发表于 2005-8-20 09:36:15 | 显示全部楼层
iptables -A INPUT -p gre -j ACCEPT
请问:gre是什么协议?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

GMT+8, 2024-11-5 13:28 , Processed in 0.061569 second(s), 16 queries .

© 2021 Powered by Discuz! X3.5.

快速回复 返回顶部 返回列表