1. Ta sikkerhetskopi av iptables først
# cp /etc/sysconfig/iptables /var/tmp
Du må åpne port 80 og spesifisere IP- og LAN-adressen
Betydningen av følgende tre linjer:
Lukk alle porter 80 først
Åpne 80 porter på IP-segmentet 192.168.1.0/24
Åpne 80 porter av IP-segmentet til IP-segmentet 211.123.16.123/24
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j AKSEPTER
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j AKSEPTER
Ovenstående er en midlertidig løsning.
2. Deretter lagre iptables
# tjeneste iptables lagre
3. Starte brannmuren på nytt
#service iptables starter på nytt
===============Følgende er et nytt trykk ================================================
Følgende er portene, alle er blokkert før noen IP-adresser åpnes
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j AKSEPTER
Hvis NAT-videresending brukes, husk å samarbeide med følgende for å tre i kraft
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j AKSEPTER
De mest brukte IPTABLES-reglene er som følger:
Du kan bare sende og motta e-poster, alt annet er lukket
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j AKSEPTER
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j AKSEPTER
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j AKSEPTER
IPSEC NAT-policy
iptables -I PFWanPriv -d 192.168.100.2 -j AKSEPTERER
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --til-destinasjon 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
NAT for FTP-server
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21
Kun den spesifiserte URL-en er tillatt
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -d www.3322.org -j AKSEPTER
iptables -A Filter -d img.cn99.com -j AKSEPTER
iptables -A Filter -j DROP
Noen porter til en IP er åpne, og andre er lukkede
iptables -A Filter -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j AKSEPTER
iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j AKSEPT
iptables -A Filter -p tcp --dport 109 -s 192.168.100.200 -j AKSEPT
iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j AKSEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -j DROP
Flere porter
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT
Kontinuerlig port
iptables -A Filter -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT
Spesifiser tidspunktet for å surfe på Internett
iptables -A Filter -s 10.10.10.253 -m tid --timestart 6:00 --timestop 11:00 --dager man, tirs, ons, torsdag, fre, lør, søn -j DROP
iptables -A Filter -m tid --timestart 12:00 --timestop 13:00 --dager mandag, tirsdag, onsdag, torsdag, fre, lørdag, søn -j aksepter
iptables -A Filter -m tid --timestart 17:30 --timestop 8:30 --dager man, tir, ons, torsdag, fre, lør, søn -j aksepter
Tjenester med flere havner er forbudt
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j AKSEPTER
NAT WAN-porten til PC-en
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
NAT-port 8000 til 192. 168。 100。 200 porteringer av 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
Porten som MAIL-serveren ønsker å videresende
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25
Kun PING 202 er tillatt. 96。 134。 133. Andre tjenester er forbudt
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j AKSEPTER
iptables -A Filter -j DROP
Deaktiver BT-konfigurasjon
iptables –A Filter –p tcp –dport 6000:20000 –j DROP
Deaktiver QQ-brannmurkonfigurasjonen
iptables -A Filter -p udp --dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP
Basert på MAC kan den bare sende og motta e-poster, og avvise alle andre
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j AKSEPTER
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j AKSEPTER
Deaktiver MSN-konfigurasjon
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Kun PING 202 er tillatt. 96。 134。 133 PING er ikke tillatt på andre offentlige nettverks-IP-er
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j AKSEPTER
iptables -A Filter -p icmp -j DROP
Forby en MAC-adresse å få tilgang til Internett:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j SLIPP
Ping til en IP-adresse:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
Forby en IP-adresse å servere:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
Kun visse tjenester er tillatt, andre avvises (2 regler)
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j AKSEPTER
iptables -A Filter -j DROP
En porttjeneste for en IP-adresse er forbudt
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j AKSEPTER
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
Forby en porttjeneste for en MAC-adresse
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Forby en MAC-adresse å få tilgang til Internett:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j SLIPP
Ping til en IP-adresse:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
|
Publisert på 17.12.2015 22:02:49
|
|
|
Vert|
Publisert på 17.12.2015 22:16:55
|
