1. Sauvegardez d’abord les iptables
# cp /etc/sysconfig/iptables /var/tmp
Vous devez ouvrir le port 80 et spécifier l’adresse IP et l’adresse LAN
Le sens des trois lignes suivantes :
Fermez tous les ports 80 d’abord
Ouvrir 80 ports sur le segment IP 192.168.1.0/24
Ouvrir 80 ports du segment IP du segment IP 211.123.16.123/24
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
Ce qui précède est un cadre temporaire.
2. Alors sauvegarder iptables
# service iptables sauver
3. Redémarrer le pare-feu
#service redémarrage iptables
=============== Ce qui suit est une réimpression ================================================
Voici les ports, tous bloqués avant que certaines IP ne soient rouvertes
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Si le transfert NAT est utilisé, n’oubliez pas de coopérer avec les éléments suivants pour que cela prenne effet
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
Les règles IPTABLES couramment utilisées sont les suivantes :
Vous ne pouvez envoyer et recevoir que des e-mails, tout le reste est fermé
iptables -I Filter -m mac --mac-source 00:0F :EA :25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F :EA :25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F :EA :25:51:37 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F :EA :25:51:37 -p tcp --dport 110 -j ACCEPTER
Politique NAT IPSEC
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PRÉROUTAGE -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
NAT pour serveur FTP
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21
Seule l’URL spécifiée est autorisée
iptables -A Filtre -p udp --dport 53 -j ACCEPT
iptables -A Filtre -p tcp --dport 53 -j ACCEPT
iptables -A Filtre -d www.3322.org -j ACCEPTER
iptables -A Filtre -d img.cn99.com -j ACCEPTER
iptables -A Filtre -j DROP
Certains ports d’une IP sont ouverts, d’autres fermés
iptables -A Filtre -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACCEPTER
iptables -A Filtre -p tcp --dport 25 -s 192.168.100.200 -j ACCEPTER
iptables -A Filtre -p tcp --dport 109 -s 192.168.100.200 -j ACCEPTER
iptables -A Filtre -p tcp --dport 110 -s 192.168.100.200 -j ACCEPTER
iptables -A Filtre -p tcp --dport 53 -j ACCEPT
iptables -A Filtre -p udp --dport 53 -j ACCEPT
iptables -A Filtre -j DROP
Ports multiples
iptables -A Filtre -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJETER
Évent continu
iptables -A Filtre -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJETER
Précisez l’heure à laquelle naviguer sur Internet
iptables -A Filtre -s 10.10.10.253 -m heure --heure de départ 6:00 --arrêt horaire 11:00 --jours lun, mardi, mercredi, jeudi, venri, samedi, dim -j DROP
iptables -A Filtre -m heure ---timestart 12:00 --timestop 13:00 --jours lun, mar, mercredi, jeudi, venri, samedi, dim -j ACCEPTER
iptables -A Filtre -m heure --timestart 17:30 --timestop 8:30 --jours lun, mardi, mercredi, jeudi, ven, samedi, dim -j ACCEPTER
Les services de ports multiples sont interdits
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT
NAT le port WAN vers le PC
iptables -t nat -A PRÉROUTAGE -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --à-destination 192.168.0.1
NAT port 8000 à 192. 168。 100。 200 portages de 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
Le port que le serveur MAIL souhaite rediriger
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25
Seul le PING 202 est autorisé. 96。 134。 133. D’autres services sont interdits
iptables -A Filtre -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPTER
iptables -A Filtre -j DROP
Désactiver la configuration BT
iptables –A Filtre –p tcp –dport 6000:20000 –j DROP
Désactivez la configuration du pare-feu QQ
iptables -A Filtre -p udp --dport ! 53 -j DROP
iptables -A Filtre -d 218.17.209.0/24 -j DROP
iptables -A Filtre -d 218.18.95.0/24 -j DROP
iptables -A Filtre -d 219.133.40.177 -j DROP
D’après MAC, il ne peut envoyer et recevoir que des e-mails, et rejeter tous les autres
iptables -I Filter -m mac --mac-source 00:0A :EB :97:79 :A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A :EB :97:79 :A1 -p tcp --dport 25 -j ACCEPTER
iptables -I Filtre -m mac --mac-source 00:0A :EB :97:79 :A1 -p tcp --dport 110 -j ACCEPTER
Désactiver la configuration MSN
iptables -A Filtre -p udp --dport 9 -j DROP
iptables -A Filtre -p tcp --dport 1863 -j DROP
iptables -A Filtre -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filtre -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Seul le PING 202 est autorisé. 96。 134。 Le PING 133 n’est pas autorisé sur d’autres adresses IP réseau publiques
iptables -A Filtre -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPTER
iptables -A Filtre -p icmp -j DROP
Interdire à une adresse MAC d’accéder à Internet :
iptables -I Filter -m mac --mac-source 00:20:18:8F :72 :F8 -j DROP
Ping vers une adresse IP :
iptables –A Filtre –p icmp –s 192.168.0.1 –j DROP
Interdire à une adresse IP de servir :
iptables –A Filtre -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filtre -p udp -s 192.168.0.1 --dport 53 -j DROP
Seuls certains services sont autorisés, d’autres sont rejetés (2 règles)
iptables -A Filtre -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A Filtre -j DROP
Un service de port pour une adresse IP est interdit
iptables -A Filtre -p tcp -s 10.10.10.253 --dport 80 -j ACCEPTER
iptables -A Filtre -p tcp -s 10.10.10.253 --dport 80 -j DROP
Interdire un service de port pour une adresse MAC
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F :72 :F8 --dport 80 -j DROP
Interdire à une adresse MAC d’accéder à Internet :
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping vers une adresse IP :
iptables –A Filtre –p icmp –s 192.168.0.1 –j DROP
|
Publié sur 17/12/2015 22:02:49
|
|
|
Propriétaire|
Publié sur 17/12/2015 22:16:55
|
