1. Először biztonsági mentést az iptables
# cp /etc/sysconfig/iptables /var/tmp
Ki kell nyitnod a 80-as portot, és meg kell adnod az IP- és LAN címet
A következő három sor jelentése:
Először zárd be az összes portot 80-as
80 portot nyiss meg az IP szegmens 192.168.1.0/24-en
Nyissuk ki 80 portot a 211.123.16.123/24 IP szegmens IP szegmenséből
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
A fentiek egy ideiglenes környezet.
2. Aztán mentsd el az iptable-okat
# Service Iptables mentés
3. Indítsd újra a tűzfalat
#service iptables újraindítása
===============Az alábbiakban egy újranyomás ================================================
Az alábbiakban a portok szerepelnek, mindegyik blokkolva van, mielőtt néhány IP-t megnyitnának
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Ha NAT továbbítást alkalmaznak, ne felejts el együttműködni a következőkkel, hogy hatályba lépjen
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
A leggyakrabban használt IPTABLES szabályok a következők:
Csak e-maileket küldhetsz és fogadhatsz, minden más zárva van
iptables -I Szűrő -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I Szűrő -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ELFOGADNI
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT
IPSEC NAT szabályzat
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
NAT az FTP szerverhez
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to destination 192.168.100.200:21
Csak a megadott URL engedélyezett
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A szűrő -d www.3322.org -j ACCEPT
iptables -A szűrő -d img.cn99.com -j ACCEPT
iptables -A szűrő -j DROP
Néhány IP port nyitva áll, mások zárva
iptables -A Szűrő -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACCEPT
iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
iptables -A szűrő -p tcp --dport 109 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A szűrő -j DROP
Több portos
iptables -A szűrő -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT
Folyamatos port
iptables -A Szűrő -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Szűrő -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT
Határozd meg az internetes böngészés időpontját
iptables -A szűrő -s 10.10.10.253 -m idő --időpont 6:00 --timestop 11:00 --napok hétfő, kedd, szerda, csütört, péntek, szombat, vasárnap - j DROP
A szűrő -m idő --időpont --időpont 12:00 --időállás 13:00 --napok hétfő, kedd, szerda, csütört, péntek, szombat, vasárnap -j ELFOGADÁS
A szűrő -m idő --időpont --időpont 17:30 --időállás 8:30 --napok hétfő, kedd, szerda, csütört, péntek, szombat, vasárnap - j ELFOGADNI
Többkikötői szolgáltatások tilosak
iptables -A szűrő -m multiport -p tcp --dport 21,23,80 -j ACCEPT
NET a WAN portot PC-re
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
NAT port 8000 192-re. 168。 100。 200 port 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
Az a port, amelyet a MAIL szerver továbbítani szeretne
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25
Csak a PING 202 engedélyezett. 96。 134。 133. Egyéb szolgáltatások tilosak
iptables -A szűrő -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A szűrő -j DROP
Kapcsold ki a BT konfigurációt
iptables –A Filter –p tcp –dport 6000:20000 –j DROP
Tiltsd ki a QQ tűzfal konfigurációját
iptables -A szűrő -p udp --dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP
MAC alapján csak e-maileket tud küldeni és fogadni, és a többi összes elutasítást
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT
Kapcsold ki az MSN konfigurációt
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A szűrő -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Csak a PING 202 engedélyezett. 96。 134。 A 133 PING más nyilvános hálózati IP-kon nem engedélyezett
iptables -A szűrő -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -p icmp -j DROP
Tiltsd meg, hogy egy MAC-cím hozzáférjen az internethez:
iptables -I Szűrő -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
IP-címre ping küldés:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
Tiltsd meg, hogy egy IP-cím szolgáljon:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
Csak bizonyos szolgáltatások engedélyezettek, másokat elutasítanak (2 szabály)
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A szűrő -j DROP
IP-cím portszolgáltatása tilos
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
Tiltsák meg egy MAC cím port szolgáltatását
iptables -I Szűrő -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Tiltsd meg, hogy egy MAC-cím hozzáférjen az internethez:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
IP-címre ping küldés:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
|
Közzétéve 2015. 12. 17. 22:02:49
|
|
|
Háziúr|
Közzétéve 2015. 12. 17. 22:16:55
|
