|
|
Veröffentlicht am 17.12.2015 22:02:49
|
|
|
1. Sichere zuerst iptables
# cp /etc/sysconfig/iptables /var/tmp
Du musst Port 80 öffnen und die IP- und LAN-Adresse angeben
Die Bedeutung der folgenden drei Zeilen:
Schließen Sie zuerst alle Ports 80
Offene 80 Ports im IP-Segment 192.168.1.0/24
Öffnen Sie 80 Ports des IP-Segments des IP-Segments 211.123.16.123/24
# iptables -I EINGABE -p tcp --dport 80 -j DROP
# iptables -I EINGABE -s 192.168.1.0/24 -p tcp --dport 80 -j AKZEPTIEREN
# iptables -I EINGABE -s 211.123.16.123/24 -p tcp --dport 80 -j AKZEPTIEREN
Das oben Genannte ist eine vorübergehende Situation.
2. Dann iptables speichern
# Service iptables Speichern
3. Firewall neu starten
#service iptables neu starten
===============Das Folgende ist ein Nachdruck ================================================
Im Folgenden sind die Ports aufgeführt, alle sind blockiert, bevor einige IPs geöffnet werden
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Wenn NAT-Weiterleitung verwendet wird, denken Sie daran, mit Folgendem zu kooperieren, damit sie wirksam werden
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
Die gebräuchlich verwendeten IPTABLES-Regeln sind wie folgt:
Du kannst nur E-Mails senden und empfangen, alles andere ist geschlossen
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j AKZEPTIEREN
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j AKZEPTIEREN
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j AKZEPTIEREN
IPSEC NAT-Richtlinie
iptables -I PFWanPriv -d 192.168.100.2 -j AKZEPTIEREN
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
NAT für FTP-Server
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21
Nur die angegebene URL ist erlaubt
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -d www.3322.org -j ACCEPT
iptables -A Filter -d img.cn99.com -j ACCEPT
iptables -A Filter -j DROP
Einige Ports einer IP sind offen, andere geschlossen
iptables -A Filter -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACCEPT
iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 109 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -j DROP
Mehrere Ports
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT
Kontinuierlicher Port
iptables -A Filter -p tcp -m Multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT
Geben Sie die Zeit an, zu der Sie im Internet surfen möchten.
iptables -A Filter -s 10.10.10.253 -m Zeit --timestart 6:00 --timestop 11:00 --tage Mo, Di, Mi, Donners, Freitag, Sa, So -j DROP
iptables -A Filter -m Zeit --timestart 12:00 --timestop 13:00 --Tage Mo, Di, Mi, Donners, Fr, Sa, So -j AKZEPTIEREN
iptables -A Filter -m Zeit --timestart 17:30 --timestop 8:30 --Tage Mon, Di, Mi, Donners, Freitag, Samstag, So -j AKZEPTIEREN
Mehrfach-Hafen-Dienste sind verboten
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT
NAT den WAN-Port zum PC
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
NAT-Port 8000 auf 192. 168。 100。 200 Ports zu je 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
Der Port, den der MAIL-Server weiterleiten möchte
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25
Nur PING 202 ist erlaubt. 96。 134。 133. Andere Dienstleistungen sind verboten
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -j DROP
BT-Konfiguration deaktivieren
iptables –A Filter –p tcp –dport 6000:20000 –j DROP
Deaktiviere die QQ-Firewall-Konfiguration
iptables -A Filter -p udp --dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP
Basierend auf MAC kann es nur E-Mails senden und empfangen und alle anderen ablehnen
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j AKZEPTIEREN
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j AKZEPTIEREN
Deaktivieren Sie die MSN-Konfiguration
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Nur PING 202 ist erlaubt. 96。 134。 133 PING ist auf anderen öffentlichen Netzwerk-IPs nicht erlaubt
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -p icmp -j DROP
Verbieten Sie einer MAC-Adresse den Internetzugriff:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping zu einer IP-Adresse:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
Verbieten Sie einer IP-Adresse die Bereitstellung von:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
Nur bestimmte Dienstleistungen sind erlaubt, andere werden abgelehnt (2 Regeln)
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A Filter -j DROP
Ein Port-Dienst für eine IP-Adresse ist verboten
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
Verbieten Sie einen Portdienst für eine MAC-Adresse
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Verbieten Sie einer MAC-Adresse den Internetzugriff:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping zu einer IP-Adresse:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
|
Vorhergehend:Ist es besser, WordPress unter Linux mit Apache oder nginx zu installieren?Nächster:Der Unterschied zwischen einem Byte und einem Wort
|
Vermieter|
Veröffentlicht am 17.12.2015 22:16:55
|
