本文提供了一个详细的iptables防火墙配置脚本示例。该脚本初始化iptables规则并设置特定端口和服务的规则,例如SSH、DNS和ICMP流量。此外,还定义了一系列拒绝规则针对特定IP地址和域名,以及对来自私有IP范围的数据包进行特殊处理。
#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "FORWARD_ipv4=true" > /etc/sysconfig/network
echo "Starning iptables now!"
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
echo "FORWARD_ipv4=true" > /etc/sysconfig/network
echo "Starning iptables now!"
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
/sbin/iptables -F
/sbin/iptables -Z
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -Z
/sbin/iptables -t nat -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -s 127.0.0.1 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 53 -i eth0 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 53 -o eth0 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 8000 -o eth0 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 8000 -o eth0 -j DROP
/sbin/iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 4000 -o eth0 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 4000 -o eth0 -j DROP
/sbin/iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 6000 -o eth0 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 6000 -o eth0 -j DROP
#/sbin/iptables -A FORWARD -s 192.168.1.2/32 -j ACCEPT
/sbin/iptables -A FORWARD -d sz2.tencent.com -j DROP
/sbin/iptables -A FORWARD -d sz3.tencent.com -j DROP
/sbin/iptables -A FORWARD -d sz4.tencent.com -j DROP
/sbin/iptables -A FORWARD -d sz5.tencent.com -j DROP
/sbin/iptables -A FORWARD -d sz6.tencent.com -j DROP
/sbin/iptables -A FORWARD -d sz7.tencent.com -j DROP
/sbin/iptables -A FORWARD -d tcpconn2.tencent.com -j DROP
/sbin/iptables -A FORWARD -d tcpconn3.tencent.com -j DROP
/sbin/iptables -A FORWARD -d tcpconn4.tencent.com -j DROP
/sbin/iptables -A FORWARD -d minisite.qq.com -j DROP
/sbin/iptables -A FORWARD -d oimsgad.qq.com -j DROP
/sbin/iptables -A FORWARD -d adsgroup.qq.com -j DROP
/sbin/iptables -A FORWARD -d adshmmsg.qq.com -j DROP
/sbin/iptables -A FORWARD -d today.qq.com -j DROP
/sbin/iptables -A FORWARD -d minisite2009.qq.com -j DROP
/sbin/iptables -A FORWARD -d 219.133.60.156 -j DROP
/sbin/iptables -A FORWARD -d 218.17.209.23 -j DROP
/sbin/iptables -A FORWARD -d 218.17.209.42 -j DROP
/sbin/iptables -A FORWARD -d 219.133.49.171 -j DROP
/sbin/iptables -A FORWARD -d 219.133.60.173 -j DROP
/sbin/iptables -A FORWARD -d 58.251.149.35 -j DROP
/sbin/iptables -A FORWARD -d 121.14.101.113 -j DROP
/sbin/iptables -A FORWARD -d 219.133.48.118 -j DROP
/sbin/iptables -A FORWARD -d 172.16.25.2 -j DROP
/sbin/iptables -A FORWARD -d 121.11.67.130 -j DROP
/sbin/iptables -A FORWARD -d 172.16.25.2 -j DROP
/sbin/iptables -A FORWARD -d 121.14.96.48 -j DROP
/sbin/iptables -A FORWARD -d 119.147.18.79 -j DROP
/sbin/iptables -A FORWARD -d 219.133.60.175 -j DROP
/sbin/iptables -A FORWARD -d 121.14.101.181 -j DROP
/sbin/iptables -A FORWARD -d 121.14.97.28 -j DROP
/sbin/iptables -A FORWARD -d 121.14.96.232 -j DROP
/sbin/iptables -A FORWARD -d 58.251.62.15 -j DROP
/sbin/iptables -A FORWARD -d 58.251.62.52 -j DROP
/sbin/iptables -A FORWARD -d 121.14.79.123 -j DROP
/sbin/iptables -A FORWARD -d 121.14.101.116 -j DROP
/sbin/iptables -A FORWARD -d 119.147.18.83 -j DROP
/sbin/iptables -A FORWARD -d 121.14.98.31 -j DROP
/sbin/iptables -A FORWARD -d 121.14.95.25 -j DROP
/sbin/iptables -A FORWARD -d 59.36.97.135 -j DROP
/sbin/iptables -A FORWARD -d 58.61.164.228 -j DROP
/sbin/iptables -A FORWARD -d 124.115.6.200 -j DROP
/sbin/iptables -A FORWARD -d 58.251.61.220 -j DROP
/sbin/iptables -A FORWARD -d 58.251.62.38 -j DROP
/sbin/iptables -A FORWARD -d 121.14.101.112 -j DROP
/sbin/iptables -A FORWARD -d 121.14.98.177 -j DROP
/sbin/iptables -A FORWARD -d 121.14.88.14 -j DROP
#/sbin/iptables -A FORWARD -s 192.168.1.2/32 -m mac --mac-sourc 00:12:14:17:23:AB -j ACCEPT
/sbin/iptables -A FORWARD -d www.taobao.com -j DROP
/sbin/iptables -Z
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -Z
/sbin/iptables -t nat -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -s 127.0.0.1 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 53 -i eth0 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 53 -o eth0 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 8000 -o eth0 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 8000 -o eth0 -j DROP
/sbin/iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 4000 -o eth0 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 4000 -o eth0 -j DROP
/sbin/iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 6000 -o eth0 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 6000 -o eth0 -j DROP
#/sbin/iptables -A FORWARD -s 192.168.1.2/32 -j ACCEPT
/sbin/iptables -A FORWARD -d sz2.tencent.com -j DROP
/sbin/iptables -A FORWARD -d sz3.tencent.com -j DROP
/sbin/iptables -A FORWARD -d sz4.tencent.com -j DROP
/sbin/iptables -A FORWARD -d sz5.tencent.com -j DROP
/sbin/iptables -A FORWARD -d sz6.tencent.com -j DROP
/sbin/iptables -A FORWARD -d sz7.tencent.com -j DROP
/sbin/iptables -A FORWARD -d tcpconn2.tencent.com -j DROP
/sbin/iptables -A FORWARD -d tcpconn3.tencent.com -j DROP
/sbin/iptables -A FORWARD -d tcpconn4.tencent.com -j DROP
/sbin/iptables -A FORWARD -d minisite.qq.com -j DROP
/sbin/iptables -A FORWARD -d oimsgad.qq.com -j DROP
/sbin/iptables -A FORWARD -d adsgroup.qq.com -j DROP
/sbin/iptables -A FORWARD -d adshmmsg.qq.com -j DROP
/sbin/iptables -A FORWARD -d today.qq.com -j DROP
/sbin/iptables -A FORWARD -d minisite2009.qq.com -j DROP
/sbin/iptables -A FORWARD -d 219.133.60.156 -j DROP
/sbin/iptables -A FORWARD -d 218.17.209.23 -j DROP
/sbin/iptables -A FORWARD -d 218.17.209.42 -j DROP
/sbin/iptables -A FORWARD -d 219.133.49.171 -j DROP
/sbin/iptables -A FORWARD -d 219.133.60.173 -j DROP
/sbin/iptables -A FORWARD -d 58.251.149.35 -j DROP
/sbin/iptables -A FORWARD -d 121.14.101.113 -j DROP
/sbin/iptables -A FORWARD -d 219.133.48.118 -j DROP
/sbin/iptables -A FORWARD -d 172.16.25.2 -j DROP
/sbin/iptables -A FORWARD -d 121.11.67.130 -j DROP
/sbin/iptables -A FORWARD -d 172.16.25.2 -j DROP
/sbin/iptables -A FORWARD -d 121.14.96.48 -j DROP
/sbin/iptables -A FORWARD -d 119.147.18.79 -j DROP
/sbin/iptables -A FORWARD -d 219.133.60.175 -j DROP
/sbin/iptables -A FORWARD -d 121.14.101.181 -j DROP
/sbin/iptables -A FORWARD -d 121.14.97.28 -j DROP
/sbin/iptables -A FORWARD -d 121.14.96.232 -j DROP
/sbin/iptables -A FORWARD -d 58.251.62.15 -j DROP
/sbin/iptables -A FORWARD -d 58.251.62.52 -j DROP
/sbin/iptables -A FORWARD -d 121.14.79.123 -j DROP
/sbin/iptables -A FORWARD -d 121.14.101.116 -j DROP
/sbin/iptables -A FORWARD -d 119.147.18.83 -j DROP
/sbin/iptables -A FORWARD -d 121.14.98.31 -j DROP
/sbin/iptables -A FORWARD -d 121.14.95.25 -j DROP
/sbin/iptables -A FORWARD -d 59.36.97.135 -j DROP
/sbin/iptables -A FORWARD -d 58.61.164.228 -j DROP
/sbin/iptables -A FORWARD -d 124.115.6.200 -j DROP
/sbin/iptables -A FORWARD -d 58.251.61.220 -j DROP
/sbin/iptables -A FORWARD -d 58.251.62.38 -j DROP
/sbin/iptables -A FORWARD -d 121.14.101.112 -j DROP
/sbin/iptables -A FORWARD -d 121.14.98.177 -j DROP
/sbin/iptables -A FORWARD -d 121.14.88.14 -j DROP
#/sbin/iptables -A FORWARD -s 192.168.1.2/32 -m mac --mac-sourc 00:12:14:17:23:AB -j ACCEPT
/sbin/iptables -A FORWARD -d www.taobao.com -j DROP
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -o eth0 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.0/24 -o eth1 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
/sbin/iptables -A FORWARD -d 192.168.0.0/24 -o eth1 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
转载于:https://blog.51cto.com/hx100/344018
扫一扫
1798
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
