1. Δημιουργήστε πρώτα αντίγραφα ασφαλείας του iptables
# cp /etc/sysconfig/iptables /var/tmp
Πρέπει να ανοίξετε τη θύρα 80 και να καθορίσετε τη διεύθυνση IP και LAN
Η σημασία των ακόλουθων τριών γραμμών:
Κλείστε πρώτα όλες τις θύρες 80
Άνοιγμα 80 θυρών στο τμήμα IP 192.168.1.0/24
Ανοίξτε 80 θύρες του τμήματος IP του τμήματος IP 211.123.16.123/24
# iptables -I ΕΙΣΟΔΟΣ -p tcp --dport 80 -j DROP
# iptables -I ΕΙΣΟΔΟΣ -s 192.168.1.0/24 -p tcp --dport 80 -j ΑΠΟΔΟΧΗ
# iptables -I ΕΙΣΟΔΟΣ -s 211.123.16.123/24 -p tcp --dport 80 -j ΑΠΟΔΟΧΗ
Το παραπάνω είναι μια προσωρινή ρύθμιση.
2. Στη συνέχεια, αποθηκεύστε το iptables
# Υπηρεσία iptables αποθήκευση
3. Επανεκκινήστε το τείχος προστασίας
#service επανεκκίνηση του iptables
===============Το παρακάτω είναι μια ανατύπωση ================================================
Ακολουθούν οι θύρες, όλες αποκλείονται πριν ανοίξουν ορισμένες IP
iptables -I ΕΙΣΟΔΟΣ -p tcp --dport 9889 -j DROP
iptables -I ΕΙΣΟΔΟΣ -s 192.168.1.0/24 -p tcp --dport 9889 -j ΑΠΟΔΟΧΗ
Εάν χρησιμοποιείται προώθηση NAT, θυμηθείτε να συνεργαστείτε με τα ακόλουθα για να τεθεί σε ισχύ
iptables -I ΜΠΡΟΣΤΑ -p tcp --dport 80 -j DROP
iptables -I ΜΠΡΟΣΤΑ -s 192.168.1.0/24 -p tcp --dport 80 -j ΑΠΟΔΟΧΗ
Οι κανόνες IPTABLES που χρησιμοποιούνται συνήθως είναι οι εξής:
Μπορείτε να στέλνετε και να λαμβάνετε μόνο email, όλα τα άλλα είναι κλειστά
iptables -I Φίλτρο -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Φίλτρο -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ΑΠΟΔΟΧΗ
iptables -I Φίλτρο -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ΑΠΟΔΟΧΗ
iptables -I Φίλτρο -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ΑΠΟΔΟΧΗ
Πολιτική NAT IPSEC
iptables -I PFWanPriv -d 192.168.100.2 -j ΑΠΟΔΟΧΗ
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --προς-προορισμό 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --προς-προορισμό 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --προς-προορισμό 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --προς-προορισμό 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --προς-προορισμό 192.168.100.2:4500
NAT για διακομιστή FTP
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ΑΠΟΔΟΧΗ
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --προς-προορισμό 192.168.100.200:21
Επιτρέπεται μόνο η καθορισμένη διεύθυνση URL
iptables -A Φίλτρο -p udp --dport 53 -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -p tcp --dport 53 -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -d www.3322.org -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -d img.cn99.com -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -j DROP
Ορισμένες θύρες μιας IP είναι ανοιχτές και άλλες είναι κλειστές
iptables -A Φίλτρο -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -p tcp --dport 25 -s 192.168.100.200 -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -p tcp --dport 109 -s 192.168.100.200 -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -p tcp --dport 110 -s 192.168.100.200 -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -p tcp --dport 53 -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -p udp --dport 53 -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -j DROP
Πολλαπλές θύρες
iptables -A Φίλτρο -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j ΑΠΟΡΡΙΨΗ
Συνεχής θύρα
iptables -A Φίλτρο -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j ΑΠΟΡΡΙΨΗ iptables -A Φίλτρο -p tcp --source-port 2:80 -s 192.168.20.3 -j ΑΠΟΡΡΙΨΗ
Καθορίστε την ώρα περιήγησης στο Διαδίκτυο
iptables -A Filter -s 10.10.10.253 -m ώρα --ώρα έναρξης 6:00 --timestop 11:00 --ημέρες Δευτ,Τρί,Τετ,Πεμ,Παρ,Σαβ,Κυρ -j DROP
iptables -A Filter -m ώρα --timestart 12:00 --timestop 13:00 --ημέρες Δευτ,Τρί,Τετ,Πεμ,Παρ,Σαβ,Κυρ -j ΑΠΟΔΟΧΗ
iptables -A Filter -m ώρα --ώρα έναρξης 17:30 --timestop 8:30 --ημέρες Δευ, Τρίτη, Τετ, Πεμ, Παρ, Σάβ, Κυρ -j ΑΠΟΔΟΧΗ
Απαγορεύονται οι πολλαπλές λιμενικές υπηρεσίες
iptables -A Φίλτρο -m multiport -p tcp --dport 21,23,80 -j ΑΠΟΔΟΧΗ
NAT τη θύρα WAN στον υπολογιστή
iptables -t nat -A ΠΡΟΔΡΟΜΟΛΟΓΗΣΗ -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --προς-προορισμό 192.168.0.1
Θύρα NAT 8000 έως 192. 168。 100。 200 θύρες των 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --προς-προορισμό 192.168.100.200:80
Η θύρα που θέλει να προωθήσει ο διακομιστής MAIL
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --προς-προορισμό 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --προς-προορισμό 192.168.100.200:25
Επιτρέπεται μόνο το PING 202. 96。 134。 133. Άλλες υπηρεσίες απαγορεύονται
iptables -A Φίλτρο -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -j DROP
Απενεργοποιήστε τη διαμόρφωση BT
iptables –ένα φίλτρο –p tcp –dport 6000:20000 –j DROP
Απενεργοποιήστε τη διαμόρφωση του τείχους προστασίας QQ
iptables -A Φίλτρο -p udp --dport ! 53 -j ΣΤΑΓΌΝΑ
iptables -A Φίλτρο -d 218.17.209.0/24 -j DROP
iptables -A Φίλτρο -d 218.18.95.0/24 -j DROP
iptables -A Φίλτρο -d 219.133.40.177 -j DROP
Με βάση το MAC, μπορεί μόνο να στέλνει και να λαμβάνει email και να απορρίπτει όλα τα άλλα
iptables -I Φίλτρο -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Φίλτρο -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ΑΠΟΔΟΧΗ
iptables -I Φίλτρο -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ΑΠΟΔΟΧΗ
Απενεργοποίηση ρύθμισης παραμέτρων MSN
iptables -A Φίλτρο -p udp --dport 9 -j DROP
iptables -A Φίλτρο -p tcp --dport 1863 -j DROP
iptables -A Φίλτρο -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Φίλτρο -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Επιτρέπεται μόνο το PING 202. 96。 134。 133 Το PING δεν επιτρέπεται σε άλλες IP δημόσιου δικτύου
iptables -A Φίλτρο -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -p icmp -j DROP
Απαγόρευση πρόσβασης μιας διεύθυνσης MAC στο Διαδίκτυο:
iptables -I Φίλτρο -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping σε μια διεύθυνση IP:
iptables –Ένα φίλτρο –p icmp –s 192.168.0.1 –j DROP
Απαγόρευση προβολής μιας διεύθυνσης IP:
iptables -A Φίλτρο -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Φίλτρο -p udp -s 192.168.0.1 --dport 53 -j DROP
Επιτρέπονται μόνο ορισμένες υπηρεσίες, άλλες απορρίπτονται (2 κανόνες)
iptables -A Φίλτρο -p tcp -s 192.168.0.1 --dport 1000 -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -j DROP
Απαγορεύεται η υπηρεσία θύρας για μια διεύθυνση IP
iptables -A Φίλτρο -p tcp -s 10.10.10.253 --dport 80 -j ΑΠΟΔΟΧΗ
iptables -A Φίλτρο -p tcp -s 10.10.10.253 --dport 80 -j DROP
Απαγόρευση υπηρεσίας θύρας για μια διεύθυνση MAC
iptables -I Φίλτρο -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Απαγόρευση πρόσβασης μιας διεύθυνσης MAC στο Διαδίκτυο:
iptables -I Φίλτρο -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping σε μια διεύθυνση IP:
iptables –Ένα φίλτρο –p icmp –s 192.168.0.1 –j DROP
|
Δημοσιεύτηκε στις 17/12/2015 10:02:49 μ.μ.
|
|
|
Σπιτονοικοκύρης|
Δημοσιεύτηκε στις 17/12/2015 10:16:55 μ.μ.
|
