1. Varmuuskopioi ensin iptables
# cp /etc/sysconfig/iptables /var/tmp
Sinun täytyy avata portti 80 ja määrittää IP- ja LAN-osoite
Seuraavien kolmen rivin merkitys:
Sulje ensin kaikki portit 80
Avaa 80 porttia IP-segmentissä 192.168.1.0/24
Avaa 80 porttia 211.123.16.123/24 IP-segmentin IP-segmentistä
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j HYVÄKSY
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j HYVÄKSY
Yllä oleva on väliaikainen ympäristö.
2. Sitten tallenna iptables
# palvelu iptables tallenna
3. Käynnistä palomuuri uudelleen
#service iptables uudelleenkäynnistys
===============Seuraava on uusintapainos ================================================
Seuraavassa ovat portit, jotka kaikki estetään ennen kuin osa IP-osoitteista on avattu
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Jos NAT-välitystä käytetään, muista tehdä yhteistyötä seuraavien kanssa, jotta se astuu voimaan
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
Yleisesti käytetyt IPTABLE-säännöt ovat seuraavat:
Voit lähettää ja vastaanottaa vain sähköposteja, kaikki muu on suljettu
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Suodatin -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j HYVÄKSY
iptables -I Suodatin -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j HYVÄKSY
iptables -I Suodatin -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j HYVÄKSY
IPSEC NAT-politiikka
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --kohteeseen 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
NAT FTP-palvelimelle
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --kohteeseen 192.168.100.200:21
Sallittu on vain määritetty URL
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Suodatin -p tcp --dport 53 -j HYVÄKSY
iptables -A Suodatin -d www.3322.org -j HYVÄKSY
iptables -A Suodatin -d img.cn99.com -j HYVÄKSY
iptables -A Filter -j DROP
Jotkut IP-portit ovat avoimia ja toiset suljettuja
iptables -A Suodatin -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j HYVÄKSY
iptables -A Suodatin -p tcp --dport 25 -s 192.168.100.200 -j HYVÄKSY
iptables -A Suodatin -p tcp --dport 109 -s 192.168.100.200 -j HYVÄKSY
iptables -A Suodatin -p tcp --dport 110 -s 192.168.100.200 -j HYVÄKSY
iptables -A Suodatin -p tcp --dport 53 -j HYVÄKSY
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -j DROP
Useat portit
iptables -A Suodatin -p tcp -m moniportti --kohdeportti 22,53,80,110 -s 192.168.20.3 -j HYLKÄÄ
Jatkuva portti
iptables -A Suodatin -p tcp -m moniportti --lähdeportti 22,53,80,110 -s 192.168.20.3 -j HYLKÄÄ iptables -A Suodatin -p tcp --lähdeportti 2:80 -s 192.168.20.3 -j HYLKÄÄMINEN
Määritä aika Internetissä surffailuun
iptables -A Filter -s 10.10.10.253 -m aika --timestart 6:00 --timestop 11:00 --päivä ma,,ti,ke,to,to,pe -lauantai,su -j DROP
iptables -A Filter -m aika --timestart 12:00 --timestop 13:00 --päivä ma, tiistai, keskiviikko, to, perjanta, lauantai, su -j HYVÄKSY
iptables -A Filter -m aika --timestart 17:30 --timestop 8:30 --päivä ma, tiistai, keskiviikko, to, perjanta, la, su -j HYVÄKSY
Moniporttipalvelut ovat kiellettyjä
iptables -A Suodatin -m moniportti -p tcp --dport 21,23,80 -j HYVÄKSY
WAN-portti PC:lle ei ole
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
NAT-portti 8000 192:een. 168。 100。 200 porttia, joissa on 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
Portti, jonka MAIL-palvelin haluaa välittää
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --kohteeseen 192.168.100.200:25
Vain PING 202 on sallittu. 96。 134。 133. Muut palvelut ovat kiellettyjä
iptables -A Suodatin -p icmp -s 192.168.100.200 -d 202.96.134.133 -j HYVÄKSY
iptables -A Filter -j DROP
Poista BT-konfiguraatio käytöstä
iptables –A Filter –p tcp –dport 6000:20000 –j DROP
Poista QQ-palomuurin konfiguraatio käytöstä
iptables -A-suodatin -p udp --dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP
MAC-pohjalta se voi lähettää ja vastaanottaa vain sähköposteja, ja hylätä kaikki muut
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Suodatin -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j HYVÄKSY
iptables -I Suodatin -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j HYVÄKSY
Poista MSN-konfiguraatio käytöstä
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Suodatin -p tcp --dport 1863 -j DROP
iptables -A Suodatin -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Suodatin -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Vain PING 202 on sallittu. 96。 134。 133 PING ei ole sallittu muilla julkisilla verkko-IP-osoitteilla
iptables -A Suodatin -p icmp -s 192.168.100.200 -d 202.96.134.133 -j HYVÄKSY
iptables -A Suodatin -p icmp -j DROP
Estä MAC-osoitteen pääsy Internetiin:
iptables -I Suodatin -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping IP-osoitteeseen:
iptables –A Suodatin –p icmp –s 192.168.0.1 –j DROP
Estä IP-osoitteen palveleminen:
iptables –A Suodatin -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
Vain tietyt palvelut ovat sallittuja, toiset hylätään (2 sääntöä)
iptables -A Suodatin -p tcp -s 192.168.0.1 --dport 1000 -j HYVÄKSY
iptables -A Filter -j DROP
IP-osoitteen porttipalvelu on kielletty
iptables -A Suodatin -p tcp -s 10.10.10.253 --dport 80 -j HYVÄKSY
iptables -A Suodatin -p tcp -s 10.10.10.253 --dport 80 -j DROP
Kieltää porttipalvelu MAC-osoitteelle
iptables -I Suodatin -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Estä MAC-osoitteen pääsy Internetiin:
iptables -I Suodatin -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping IP-osoitteeseen:
iptables –A Suodatin –p icmp –s 192.168.0.1 –j DROP
|
Julkaistu 17.12.2015 22.02.49
|
|
|
Vuokraisäntä|
Julkaistu 17.12.2015 22.16.55
|
