1. iptables를 먼저 백업하세요
# cp /etc/sysconfig/iptables /var/tmp
포트 80을 열고 IP와 LAN 주소를 지정해야 합니다
다음 세 줄의 의미:
먼저 80번 항구를 모두 닫아라
IP 세그먼트 192.168.1.0/24에서 80개의 포트 개방
211.123.16.123/24 IP 세그먼트의 IP 세그먼트 80개 포트 개방
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
위 설정은 임시적인 설정입니다.
2. 그 다음 iptables 저장
# 서비스 iptables 저장
3. 방화벽 재시작
iptables 재시작 #service
===============다음은 재인쇄본================================================
다음은 포트들이며, 일부 IP가 열리기 전에 모두 차단됩니다
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
NAT 포워딩을 사용할 경우, 다음 사항들과 협력하여 효과를 발휘해야 합니다
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
일반적으로 사용되는 IPTABLES 규칙은 다음과 같습니다:
이메일만 주고받을 수 있고, 그 외에는 모두 닫혀 있습니다
iptables -I 필터 -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I 필터 -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I 필터 -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
iptables -I 필터 -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT
IPSEC NAT 정책
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to destination 192.168.100.2:1723
iptables -t nat -A 프리라우팅 -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
FTP 서버를 위한 NAT
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET ADDR -j DNAT --to-destination 192.168.100.200:21
지정된 URL만 허용됩니다
iptables -A 필터 -p udp --dport 53 -j ACCEPT
iptables -A 필터 -p tcp --dport 53 -j ACCEPT
iptables -A 필터 -d www.3322.org -j ACCEPT
iptables -A 필터 -d img.cn99.com -j ACCEPT
iptables -A 필터 -j DROP
IP의 일부 포트는 열려 있고, 다른 포트는 닫혀 있습니다
iptables -A 필터 -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACCEPT
iptables -A 필터 -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
iptables -A 필터 -p tcp --dport 109 -s 192.168.100.200 -j ACCEPT
iptables -A 필터 -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT
iptables -A 필터 -p tcp --dport 53 -j ACCEPT
iptables -A 필터 -p udp --dport 53 -j ACCEPT
iptables -A 필터 -j DROP
다중 포트
iptables -A 필터 -p tcp -m 멀티포트 --destination-port 22,53,80,110 -s 192.168.20.3 -j 거부
연속 포트
iptables -A 필터 -p tcp -m 멀티포트 --source-port 22,53,80,110 -s 192.168.20.3 -j 거부 iptables -A 필터 -p tcp --source-port 2:80 -s 192.168.20.3 -j 거부
인터넷 서핑 시간을 명시하세요
iptables -A 필터 -s 10.10.10.253 -m 시간 --시간 시작 6:00 --시간 정지 11:00 --일 월, 화, 수, 수, 금, 토, 일요 -j DROP
iptables -A 필터 -m 시간 --시간 시작 12:00 -시간 종료 13:00 --월, 화, 수, 목, 금, 토, 일요일 -j 수락
iptables -A 필터 -m 시간 --시간 시작 17:30 --시간 종료 8:30 --월, 화, 수, 주 금, 토, 일요 -j 수락
다중 항만 서비스는 금지되어 있습니다
iptables -A 필터 -m 멀티포트 -p tcp --dport 21,23,80 -j ACCEPT
WAN 포트를 PC에 NAT 연결하세요
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
NAT 포트 8000에서 192까지. 168。 100。 80개의 포트 200개
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
MAIL 서버가 전달하려는 포트
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25
PING 202만 허용됩니다. 96。 134。 133. 기타 서비스는 금지된다
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A 필터 -j DROP
BT 설정 비활성화
iptables –A 필터 –p tcp –dport 6000:20000 –j DROP
QQ 방화벽 설정을 비활성화하세요
iptables -A 필터 -p udp --dport ! 53 -j 드롭
iptables -A 필터 -d 218.17.209.0/24 -j DROP
iptables -A 필터 -d 218.18.95.0/24 -j DROP
iptables -A 필터 -d 219.133.40.177 -j DROP
MAC을 기준으로 이메일만 송수신할 수 있고, 그 외의 모든 것은 거부할 수 있습니다
iptables -I 필터 -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I 필터 -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
iptables -I 필터 -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT
MSN 설정 비활성화
iptables -A 필터 -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A 필터 -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A 필터 -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
PING 202만 허용됩니다. 96。 134。 다른 공용 네트워크 IP에서는 133 핑이 허용되지 않습니다
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A 필터 -p icmp -j DROP
MAC 주소가 인터넷에 접속하는 것을 금지하세요:
iptables -I 필터 -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
IP 주소로 핑하기:
iptables –A 필터 –p icmp –s 192.168.0.1 –j DROP
IP 주소 제공 금지:
iptables –A 필터 -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A 필터 -p udp -s 192.168.0.1 --dport 53 -j DROP
특정 서비스만 허용되고, 다른 서비스는 거부됩니다 (2가지 규칙)
iptables -A 필터 -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A 필터 -j DROP
IP 주소에 대한 포트 서비스는 금지되어 있습니다
iptables -A 필터 -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A 필터 -p tcp -s 10.10.10.253 --dport 80 -j DROP
MAC 주소에 대한 포트 서비스 금지
iptables -I 필터 -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
MAC 주소가 인터넷에 접속하는 것을 금지하세요:
iptables -I 필터 -m mac --mac-source 00:11:22:33:44:55 -j DROP
IP 주소로 핑하기:
iptables –A 필터 –p icmp –s 192.168.0.1 –j DROP
|
게시됨 2015. 12. 17. 오후 10:02:49
|
|
|
집주인|
게시됨 2015. 12. 17. 오후 10:16:55
|
