1. Vispirms dublējiet iptables
# cp /etc/sysconfig/iptables /var/tmp
Jums jāatver ports 80 un jānorāda IP un LAN adrese
Šādu trīs rindu nozīme:
Vispirms aizveriet visus portus 80
Atveriet 80 portus IP segmentā 192.168.1.0/24
Atveriet 80 IP segmenta 211.123.16.123/24 IP segmenta portus
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
Iepriekš minētais ir pagaidu iestatījums.
2. Pēc tam saglabājiet iptables
# pakalpojums iptables saglabāt
3. Restartējiet ugunsmūri
#service iptables restartē
===============Tālāk ir atkārtota ================================================
Tālāk ir norādītas ostas, kuras visas tiek bloķētas pirms dažu IP atvēršanas
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Ja tiek izmantota NAT pārsūtīšana, neaizmirstiet sadarboties ar tālāk norādīto, lai stātos spēkā
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
Parasti izmantotie IPTABLES noteikumi ir šādi:
Jūs varat tikai nosūtīt un saņemt e-pastus, viss pārējais ir slēgts
iptables -I Filtrs -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filtrs -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I Filtrs -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
iptables -I Filtrs -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT
IPSEC NAT politika
iptables -I PFWanPriv -d 192.168.100.2 -j AKCEPTĒT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
NAT FTP serverim
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j AKCEPTĒT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21
Ir atļauts tikai norādītais URL
iptables -A Filtrs -p udp --dport 53 -j ACCEPT
iptables -A Filtrs -p tcp --dport 53 -j ACCEPT
iptables -A Filtrs -d www.3322.org -j ACCEPT
iptables -A Filtrs -d img.cn99.com -j ACCEPT
iptables -A filtrs -j DROP
Daži IP porti ir atvērti, bet citi ir slēgti
iptables -A Filtrs -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j AKCEPTĒT
iptables -A Filtrs -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
iptables -A Filtrs -p tcp --dport 109 -s 192.168.100.200 -j ACCEPT
iptables -A Filtrs -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT
iptables -A Filtrs -p tcp --dport 53 -j ACCEPT
iptables -A Filtrs -p udp --dport 53 -j ACCEPT
iptables -A filtrs -j DROP
Vairākas pieslēgvietas
iptables -A Filtrs -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT
Nepārtraukta pieslēgvieta
iptables -A Filtrs -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filtrs -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT
Norādiet laiku, lai sērfotu internetā
iptables -A Filtrs -s 10.10.10.253 -m laiks --timestart 6:00 --timestop 11:00 --dienas Pirmdiena, Otrdiena, Trešdiena, Ceturtdiena, Piektdiena, Sestdiena, Svētdiena -j DROP
iptables -A Filtrs -m laiks --timestart 12:00 --timestop 13:00 --days Pirmdiena,Otrdiena,Trešdiena,Ceturtdiena,Piektdiena,Sestdiena,Svētdiena -j PIEŅEMT
iptables -A Filtrs -m laiks --timestart 17:30 --timestop 8:30 --days Pirmdiena, Otrdiena, Trešdiena, Ceturtdiena, Piektdiena, Sestdiena, Svētdiena -j PIEŅEMT
Vairāku ostu pakalpojumi ir aizliegti
iptables -A Filtrs -m multiport -p tcp --dport 21,23,80 -j ACCEPT
NAT WAN portu datorā
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
NAT pieslēgvieta no 8000 līdz 192. 168。 100。 200 pieslēgvietas pa 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
Ports, kuru MAIL serveris vēlas pārsūtīt
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25
Ir atļauts tikai PING 202. 96。 134。 133. Citi pakalpojumi ir aizliegti
iptables -A Filtrs -p icmp -s 192.168.100.200 -d 202.96.134.133 -j AKCEPTĒT
iptables -A filtrs -j DROP
Atspējot BT konfigurāciju
iptables –A filtrs –p tcp –dport 6000:20000 –j DROP
Atspējot QQ ugunsmūra konfigurāciju
iptables -A Filtrs -p udp --dport ! 53 -j KRITUMS
iptables -A filtrs -d 218.17.209.0/24 -j DROP
iptables -A filtrs -d 218.18.95.0/24 -j DROP
iptables -A filtrs -d 219.133.40.177 -j DROP
Pamatojoties uz MAC, tas var tikai nosūtīt un saņemt e-pastus un noraidīt visus pārējos
iptables -I Filtrs -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filtrs -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
iptables -I Filtrs -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT
MSN konfigurācijas atspējošana
iptables -A filtrs -p udp --dport 9 -j DROP
iptables -A filtrs -p tcp --dport 1863 -j DROP
iptables -A Filtrs -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filtrs -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Ir atļauts tikai PING 202. 96。 134。 133 PING nav atļauts citos publiskā tīkla IP adresātos
iptables -A Filtrs -p icmp -s 192.168.100.200 -d 202.96.134.133 -j AKCEPTĒT
iptables -A Filtrs -p icmp -j DROP
Aizliegt MAC adresei piekļūt internetam:
iptables -I Filtrs -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping uz IP adresi:
iptables –A filtrs –p icmp –s 192.168.0.1 –j DROP
Aizliegt IP adreses rādīšanu:
iptables -A Filtrs -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables -A filtrs -p udp -s 192.168.0.1 --dport 53 -j DROP
Tikai daži pakalpojumi ir atļauti, citi tiek noraidīti (2 noteikumi)
iptables -A Filtrs -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A filtrs -j DROP
IP adreses pārvietošanas pakalpojums ir aizliegts
iptables -A Filtrs -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A Filtrs -p tcp -s 10.10.10.253 --dport 80 -j DROP
Ostas pakalpojuma aizliegšana MAC adresei
iptables -I Filtrs -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Aizliegt MAC adresei piekļūt internetam:
iptables -I Filtrs -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping uz IP adresi:
iptables –A filtrs –p icmp –s 192.168.0.1 –j DROP
|
Publicēts 17.12.2015 22:02:49
|
|
|
Saimnieks|
Publicēts 17.12.2015 22:16:55
|
