1. Primero hacer las copias de seguridad
# cp /etc/sysconfig/iptables /var/tmp
Necesitas abrir el puerto 80 y especificar la IP y la dirección LAN
El significado de las siguientes tres líneas:
Cerrar todos los puertos 80 primero
Abrir 80 puertos en el segmento IP 192.168.1.0/24
Abrir 80 puertos del segmento IP del segmento IP 211.123.16.123/24
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
Lo anterior es un escenario temporal.
2. Luego guarda iptables
# servicios iptables guardar
3. Reiniciar el cortafuegos
#service reinicio de iptables
===============Lo siguiente es una reimpresión ================================================
A continuación se muestran los puertos, todos ellos bloqueados antes de que se abran algunas IPs
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Si se utiliza el reenvío NAT, recuerda cooperar con los siguientes puntos para que entre en vigor
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -i FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
Las reglas IPTABLES más utilizadas son las siguientes:
Solo puedes enviar y recibir correos electrónicos, todo lo demás está cerrado
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT
Política NAT IPSEC
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
NAT para servidor FTP
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21
Solo se permite la URL especificada
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filtro -p tcp --dport 53 -j ACEPTAR
iptables -A Filtro -d www.3322.org -j ACEPTAR
iptables -A Filtro -d img.cn99.com -j ACEPTAR
iptables -A Filtro -j DROP
Algunos puertos de una IP están abiertos y otros cerrados
iptables -A Filtro -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACEPTAR
iptables -A Filtro -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
iptables -A Filtro -p tcp --dport 109 -s 192.168.100.200 -j ACEPTAR
iptables -A Filtro -p tcp --dport 110 -s 192.168.100.200 -j ACEPTAR
iptables -A Filtro -p tcp --dport 53 -j ACEPTAR
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filtro -j DROP
Múltiples puertos
iptables -A Filtro -p tcp -m multipuerto --puerto-destino 22,53,80,110 -s 192.168.20.3 -j RECHAZAR
Puerto continuo
iptables -A Filtro -p tcp -m multipuerto --puerto-fuente 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filtro -p tcp --puerto-fuente 2:80 -s 192.168.20.3 -j RECHAZAR
Especifica la hora para navegar por Internet
iptables -A Filtro -s 10.10.10.253 -m hora --hora inicio 6:00 --parada 11:00 --días lunes, martes, miércoles, viernes, sábados, domingo -j DROP
iptables -A Filtro -m hora --inicio horario 12:00 --pausa horaria 13:00 --días lunes, martes, miércoles, jueves, vienes, sábados, domingos -j ACEPTAR
iptables -A Filtro -m hora --inicio horario 17:30 --stopstop 8:30 --días lunes, martes, miércoles, jueves, viernes, sábados, domingos -j ACEPTAR
Están prohibidos los servicios de puertos múltiples
iptables -A Filtro -m multipuerto -p tcp --dport 21,23,80 -j ACEPTAR
NAT el port WAN al PC
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
Puerto NAT 8000 a 192. 168。 100。 200 versiones de 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
El puerto que el servidor MAIL quiere reenviar
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25
Solo se permite PING 202. 96。 134。 133. Otros servicios están prohibidos
iptables -A Filtro -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACEPTAR
iptables -A Filtro -j DROP
Desactivar la configuración de BT
iptables –A Filtro –p tcp –dport 6000:20000 –j DROP
Desactiva la configuración del cortafuegos QQ
iptables -A Filtro -p udp --dport ! 53 -j DROP
iptables -A Filtro -d 218.17.209.0/24 -j DROP
iptables -A Filtro -d 218.18.95.0/24 -j DROP
iptables -A Filtro -d 219.133.40.177 -j DROP
Según MAC, solo puede enviar y recibir correos electrónicos, y rechazar todos los demás
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACEPTAR
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACEPTAR
Desactivar la configuración de MSN
iptables -A Filtro -p udp --dport 9 -j DROP
iptables -A Filtro -p tcp --dport 1863 -j DROP
iptables -A Filtro -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filtro -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Solo se permite PING 202. 96。 134。 El PING 133 no está permitido en otras IPs de redes públicas
iptables -A Filtro -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACEPTAR
iptables -A Filtro -p icmp -j DROP
Prohibir que una dirección MAC acceda a Internet:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping a una dirección IP:
iptables –A Filtro –p icmp –s 192.168.0.1 –j DROP
Prohibir que una dirección IP sirva:
iptables –A Filtro -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filtro -p udp -s 192.168.0.1 --dport 53 -j DROP
Solo se permiten ciertos servicios, otros son rechazados (2 reglas)
iptables -A Filtro -p tcp -s 192.168.0.1 --dport 1000 -j ACEPTAR
iptables -A Filtro -j DROP
Está prohibido un servicio de puerto para una dirección IP
iptables -A Filtro -p tcp -s 10.10.10.253 --dport 80 -j ACEPTAR
iptables -A Filtro -p tcp -s 10.10.10.253 --dport 80 -j DROP
Prohibir un servicio de puerto para una dirección MAC
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Prohibir que una dirección MAC acceda a Internet:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping a una dirección IP:
iptables –A Filtro –p icmp –s 192.168.0.1 –j DROP
|
Publicado en 17/12/2015 22:02:49
|
|
|
Propietario|
Publicado en 17/12/2015 22:16:55
|
