我写了一个iptables防火墙脚本,请高手指点一下,是否要作改进

lijun_gz

#!/bin/sh

echo "Starting iptables rules..."

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F INPUT
iptables -F FORWARD

iptables -F POSTROUTING -t nat
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.0.1/24 -o ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE

iptables -F PREROUTING -t nat
iptables -A FORWARD -p tcp -d 192.168.0.1 --dport www -i ppp0 -j ACCEPT
iptables -A FORWARD -o ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -j DNAT --to 192.168.0.1

iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT


其中192.168.0.1是www服务器,希望被外网访问,由于只有两台电脑,无法测试设置情况,所以请高手指点一下,最好能从安全角度作一些改进.谢谢了!!!

黑企鹅

简单的安全策略就是:
input为drop.然后再开需要提供的端口.

你把ppp0设为drop就可以了.

然后ESTABLISHED,RELATED -j ACCEPT
然后-d 80 -j ACCEPT
然后 -i ppp0 -j DROP
然后 -nat POSTROUTING -o ppp0 -j MASQUERADE

然后你要加的一些icmp等的包限制了.

lijun_gz

如果我只有一个动态IP,而且希望外部能够访问到内部某台服务器,如何设置?

黑企鹅

如果是动态IP,外部只能在知道你IP后才能访问.
请看动态域名服务

lijun_gz

动态域名解释已解决，我采用的是Dns2Go，现在就差部分开放特定的服务器了

黑企鹅

恭贺..希望尽快看到你的home page...