1. Backup do iptables primeiro
# cp /etc/sysconfig/iptables /var/tmp
Você precisa abrir a porta 80 e especificar o IP e o endereço LAN
O significado das três linhas a seguir:
Feche todas as portas 80 primeiro
Abra 80 portas no segmento IP 192.168.1.0/24
Abra 80 portas do segmento IP do segmento IP 211.123.16.123/24
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
O que foi dito acima é um cenário temporário.
2. Então salve iptables
# serviços iptables salvar
3. Reiniciar o firewall
#service reiniciar o iptables
===============A seguir está uma reimpressão ================================================
A seguir estão as portas, todas bloqueadas antes que alguns IPs sejam abertos
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Se for usado encaminhamento NAT, lembre-se de cooperar com os seguintes pontos para que efetiva
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
As regras IPTABLES mais comuns são as seguintes:
Você só pode enviar e receber e-mails, todo o resto está fechado
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACEITAR
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACEITAR
Política de NAT IPSEC
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PRÉ-roteamento -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --para-destino 192.168.100.2:80
iptables -t nat -A PRÉ-roteamento -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --para-destino 192.168.100.2:1723
iptables -t nat -A PRÉ-roteamento -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --para-destino 192.168.100.2:1723
iptables -t nat -A PRÉ-roteamento -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --para-destino 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
NAT para servidor FTP
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --para-destino 192.168.100.200:21
Somente a URL especificada é permitida
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filtro -d www.3322.org -j ACEITAR
iptables -A Filtro -d img.cn99.com -j ACEITAR
iptables -A Filtro -j DROP
Algumas portas de um IP estão abertas e outras fechadas
iptables -A Filter -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACEITAR
iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 109 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filtro -j DROP
Múltiplas portas
iptables -A Filtro -p tcp -m multiporta --porta-destino-22,53,80,110 -s 192.168.20.3 -j REJEITAR
Porta contínua
iptables -A Filtro -p tcp -m multiporta --porta-fonte 22,53,80,110 -s 192.168.20.3 -j REJEITAR iptables -A Filtro -p tcp --porta-fonte 2:80 -s 192.168.20.3 -j REJEITAR
Especifique o horário para navegar na Internet
iptables -A Filtro -s 10.10.10.253 -m horário --timestart 6:00 --timestop 11:00 --dias seg, ter, qua, quinta, sex, sáb, dom -j DROP
iptables -A Filtro -m horário --timestart 12:00 --timestop 13:00 --dias seg, ter, qua, quinta, sexta, sáb, dom -j ACEITAR
iptables -A Filtro -m hora --timestart 17:30 --timestop 8:30 --dias seg, ter, qua, quinta, sex, sáb, dom -j ACEITAR
Serviços múltiplos de porto são proibidos
iptables -A Filter -m multiporta -p tcp --dport 21,23,80 -j ACCEPT
NAT a porta WAN para o PC
iptables -t nat -A PRÉ-roteamento -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --para-destino 192.168.0.1
Porta NAT 8000 para 192. 168。 100。 200 ports de 80
iptables -t nat -A PRÉ-roteamento -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --para-destino 192.168.100.200:80
A porta que o servidor MAIL quer encaminhar
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --para-destino 192.168.100.200:25
Apenas PING 202 é permitido. 96。 134。 133. Outros serviços são proibidos
iptables -A Filtro -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACEITAR
iptables -A Filtro -j DROP
Desabilite a configuração do BT
iptables –A Filtro –p tcp –dport 6000:20000 –j DROP
Desative a configuração do firewall QQ
iptables -A Filtro -p udp --dport ! 53 -j DROP
iptables -A Filtro -d 218.17.209.0/24 -j DROP
iptables -A Filtro -d 218.18.95.0/24 -j DROP
iptables -A Filtro -d 219.133.40.177 -j DROP
Com base no MAC, ele só pode enviar e receber e-mails, e rejeitar todos os outros
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACEITAR
Desativar a configuração do MSN
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filtro -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Apenas PING 202 é permitido. 96。 134。 O PING 133 não é permitido em outros IPs de rede pública
iptables -A Filtro -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACEITAR
iptables -A Filtro -p icmp -j DROP
Proíba que um endereço MAC acesse a Internet:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping para um endereço IP:
iptables –A Filtro –p icmp –s 192.168.0.1 –j DROP
Proíba que um endereço IP sirva:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
Apenas certos serviços são permitidos, outros são rejeitados (2 regras)
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A Filtro -j DROP
Um serviço de porta para um endereço IP é proibido
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
Proíba um serviço de porta para um endereço MAC
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Proíba que um endereço MAC acesse a Internet:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping para um endereço IP:
iptables –A Filtro –p icmp –s 192.168.0.1 –j DROP
|
Publicado em 17/12/2015 22:02:49
|
|
|
Senhorio|
Publicado em 17/12/2015 22:16:55
|
