1. Спочатку зробіть резервне копіювання iptables
# cp /etc/sysconfig/iptables /var/tmp
Потрібно відкрити порт 80 і вказати IP та локальну адресу
Значення наступних трьох рядків:
Спочатку закрийте всі порти 80
Відкрити 80 портів на сегменті IP 192.168.1.0/24
Відкрити 80 портів IP-сегмента сегмента 211.123.16.123/24
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ПРИЙНЯТИ
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
Вищезазначене — це тимчасове положення.
2. Потім зберігайте iptables
# збереження сервісу iptables
3. Перезапустіть фаєрвол
#service iptables restart
===============Нижче наведено перевидання ================================================
Нижче наведені порти, всі вони блокуються до відкриття деяких IP
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ПРИЙНЯТИ
Якщо використовується переадресація NAT, пам'ятайте про співпрацю з наступними умовами для набуття чинності
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ПРИЙНЯТИ
Найпоширеніші правила IPTABLES такі:
Ви можете надсилати і отримувати лише електронні листи, все інше закрите
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ПРИЙНЯТИ
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ПРИЙНЯТИ
Політика IPSEC NAT
iptables -I PFWanPriv -d 192.168.100.2 -j ПРИЙНЯТИ
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
NAT для FTP-сервера
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21
Дозволена лише вказана URL
iptables -A Filter -p udp --dport 53 -j ПРИЙНЯТИ
iptables -A Filter -p tcp --dport 53 -j ПРИЙНЯТИ
iptables -A Filter -d www.3322.org -j ПРИЙНЯТИ
iptables -A Filter -d img.cn99.com -j ПРИЙНЯТИ
iptables -A Filter -j DROP
Деякі порти IP-адреси відкриті, інші закриті
iptables -A Filter -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ПРИЙНЯТИ
iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j ПРИЙНЯТИ
iptables -A Filter -p tcp --dport 109 -s 192.168.100.200 -j ПРИЙНЯТИ
iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j ПРИЙНЯТИ
iptables -A Filter -p tcp --dport 53 -j ПРИЙНЯТИ
iptables -A Filter -p udp --dport 53 -j ПРИЙНЯТИ
iptables -A Filter -j DROP
Декілька портів
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j ВІДХИЛИТИ
Безперервний порт
iptables -A Filter -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j ВІДХИЛИТИ
Вкажіть час для перегляду Інтернету
iptables -A Filter -s 10.10.10.253 -m time --time start 6:00 --timestop 11:00 --days понеділок, вівторок, середа, чт, пт, субота, неділя -j DROP
iptables -A Filter -m time --timestart 12:00 --timestop 13:00 --days понеділок, вівторок, середа, чт, п'ятниця, субота, неділя -j ПРИЙНЯТИ
iptables -A Filter -m time --timestart 17:30 --timestop 8:30 --days понеділок, вівторок, середа, чт, п'ятниця, субота, неділя -j ПРИЙНЯТИ
Багатопортові послуги заборонені
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ПРИЙНЯТИ
NAT через WAN порт на ПК
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
NAT порт 8000 до 192. 168。 100。 200 портів по 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
Порт, який MAIL сервер хоче переадресувати
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25
Дозволений лише PING 202. 96。 134。 133. Інші послуги заборонені
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ПРИЙНЯТИ
iptables -A Filter -j DROP
Вимкнути налаштування BT
iptables –A Filter –p tcp –dport 6000:20000 –j DROP
Вимкніть конфігурацію міжмережевого екрану QQ
iptables -A Filter -p udp --dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP
Згідно з MAC, він може надсилати та отримувати лише електронні листи, а всі інші відхиляти
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ПРИЙНЯТИ
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ПРИЙНЯТИ
Вимкніть конфігурацію MSN
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Дозволений лише PING 202. 96。 134。 133 PING не дозволяється на інших IP-адресах публічних мереж
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ПРИЙНЯТИ
iptables -A Filter -p icmp -j DROP
Заборонити доступ MAC-адреси до Інтернету:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Пінг на IP-адресу:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
Заборонити IP-адресу обслуговувати:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
Дозволені лише певні послуги, інші відхиляються (2 правила)
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ПРИЙНЯТИ
iptables -A Filter -j DROP
Сервіс портування IP-адреси заборонений
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ПРИЙНЯТИ
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
Заборонити порт-сервіс для MAC-адреси
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Заборонити доступ MAC-адреси до Інтернету:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
Пінг на IP-адресу:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
|
Опубліковано 17.12.2015 22:02:49
|
|
|
Орендодавець|
Опубліковано 17.12.2015 22:16:55
|
