1. Pirmiausia sukurkite atsarginę iptables kopiją
# cp /etc/sysconfig/iptables /var/tmp
Turite atidaryti 80 prievadą ir nurodyti IP ir LAN adresą
Šių trijų eilučių reikšmė:
Pirmiausia uždarykite visus prievadus 80
Atidarykite 80 prievadų IP segmente 192.168.1.0/24
Atidarykite 80 IP segmento 211.123.16.123/24 IP segmento prievadų
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
Tai yra laikina aplinka.
2. Tada išsaugokite iptables
# paslauga iptables išsaugoti
3. Iš naujo paleiskite ugniasienę
#service iptables paleisti iš naujo
===============Toliau pateikiamas pakartotinis ================================================
Toliau pateikiami prievadai, visi jie užblokuojami prieš atidarant kai kuriuos IP
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Jei naudojamas NAT persiuntimas, nepamirškite bendradarbiauti su šiais būdais:
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
Dažniausiai naudojamos IPTABLES taisyklės yra šios:
Galite siųsti ir gauti tik el. laiškus, visa kita uždaryta
iptables -I Filtras -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filtras -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I Filtras -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
iptables -I Filtras -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT
IPSEC NAT politika
iptables -I PFWanPriv -d 192.168.100.2 -j PRIIMTI
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
NAT FTP serveriui
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j PRIIMTI
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21
Leidžiamas tik nurodytas URL
iptables -A Filtras -p udp --dport 53 -j ACCEPT
iptables -A Filtras -p tcp --dport 53 -j ACCEPT
iptables -A Filtras -d www.3322.org -j ACCEPT
iptables -A Filtras -d img.cn99.com -j PRIIMTI
iptables -A Filtras -j LAŠAS
Kai kurie IP prievadai yra atviri, o kiti uždaryti
iptables -A Filtras -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j PRIIMTI
iptables -A Filtras -p tcp --dport 25 -s 192.168.100.200 -j PRIIMTI
iptables -A Filtras -p tcp --dport 109 -s 192.168.100.200 -j PRIIMTI
iptables -A Filtras -p tcp --dport 110 -s 192.168.100.200 -j PRIIMTI
iptables -A Filtras -p tcp --dport 53 -j ACCEPT
iptables -A Filtras -p udp --dport 53 -j ACCEPT
iptables -A Filtras -j LAŠAS
Keli prievadai
iptables -A Filtras -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT
Nepertraukiamas prievadas
iptables -A Filtras -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filtras -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT
Nurodykite naršymo internete laiką
iptables -A Filtras -s 10.10.10.253 -m laikas --timestart 6:00 --timestop 11:00 --days Pirmadienis,Antradienis,Trečiadienis,Ketvirtadienis,Penktadienis,Šeštadienis,Sekmadienis -j DROP
iptables -A Filtras -m laikas --timestart 12:00 --timestop 13:00 --days Pirmadienis,Antradienis,Trečiadienis,Ketvirtadienis,Penktadienis,Šeštadienis,Sekmadienis -j SUTINKU
iptables -A Filtras -m laikas --timestart 17:30 --timestop 8:30 --days Pirmadienis,Antradienis,Trečiadienis,Ketvirtadienis,Penktadienis,Šeštadienis,Sekmadienis -j PRIIMTI
Draudžiamos kelių uostų paslaugos
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT
NAT WAN prievadą į kompiuterį
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
NAT prievadas nuo 8000 iki 192. 168。 100。 200 prievadų po 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
Prievadas, kurį nori persiųsti MAIL serveris
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25
Leidžiamas tik PING 202. 96。 134。 133. Kitos paslaugos draudžiamos
iptables -A Filtras -p icmp -s 192.168.100.200 -d 202.96.134.133 -j PRIIMTI
iptables -A Filtras -j LAŠAS
Išjungti BT konfigūraciją
iptables –A Filtras –p tcp –dport 6000:20000 –j DROP
Išjunkite QQ ugniasienės konfigūraciją
iptables -A Filtras -p udp --dport ! 53 -j LAŠAS
iptables -A Filtras -d 218.17.209.0/24 -j DROP
iptables -A Filtras -d 218.18.95.0/24 -j DROP
iptables -A Filtras -d 219.133.40.177 -j DROP
Remiantis MAC, jis gali siųsti ir gauti tik el. laiškus, o visus kitus atmesti
iptables -I Filtras -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filtras -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
iptables -I Filtras -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT
Išjungti MSN konfigūraciją
iptables -A Filtras -p udp --dport 9 -j DROP
iptables -A Filtras -p tcp --dport 1863 -j DROP
iptables -A Filtras -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filtras -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Leidžiamas tik PING 202. 96。 134。 133 PING neleidžiamas kituose viešojo tinklo IP adresuose
iptables -A Filtras -p icmp -s 192.168.100.200 -d 202.96.134.133 -j PRIIMTI
iptables -A Filtras -p icmp -j DROP
Uždrauskite MAC adresui prisijungti prie interneto:
iptables -I Filtras -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping į IP adresą:
iptables –A Filtras –p icmp –s 192.168.0.1 –j DROP
Uždrauskite teikti IP adresą:
iptables –A Filtras -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filtras -p udp -s 192.168.0.1 --dport 53 -j DROP
Leidžiamos tik tam tikros paslaugos, kitos atmetamos (2 taisyklės)
iptables -A Filtras -p tcp -s 192.168.0.1 --dport 1000 -j PRIIMTI
iptables -A Filtras -j LAŠAS
IP adreso perkėlimo paslauga draudžiama
iptables -A Filtras -p tcp -s 10.10.10.253 --dport 80 -j PRIIMTI
iptables -A Filtras -p tcp -s 10.10.10.253 --dport 80 -j DROP
Uždrausti MAC adreso perkėlimo paslaugą
iptables -I Filtras -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Uždrauskite MAC adresui prisijungti prie interneto:
iptables -I Filtras -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping į IP adresą:
iptables –A Filtras –p icmp –s 192.168.0.1 –j DROP
|
Paskelbta 2015-12-17 22:02:49
|
|
|
Savininkas|
Paskelbta 2015-12-17 22:16:55
|
