分享一个实用的网关iptables脚本

最新推荐文章于 2022-07-16 11:56:53 发布
最新推荐文章于 2022-07-16 11:56:53 发布
阅读量611 收藏
点赞数
分类专栏: linux 文章标签: 脚本 input redirect tcp filter output

实现功能:
1.指定入站端口限制
2.丢弃非法syn包
3.透明代理,透明DNS
4.客户端IP与MAC地址绑定
5.出入邮件扫描
6.端口转发

echo 1 > /proc/sys/net/ipv4/ip_forward ##开启ip转发
/sbin/iptables -F -t filter ##清空规则
/sbin/iptables -F -t nat  ##清空NAT规则
/sbin/iptables -P INPUT DROP ##默认入站策略为丢弃
/sbin/iptables -P OUTPUT ACCEPT ##默认出站策略为允许
/sbin/iptables -P FORWARD DROP ##默认转发策略为丢弃
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT #ICMP限速
/sbin/iptables -A INPUT -p udp -m multiport --ports 53,161 -j ACCEPT ##允许入站UDP端口53,161
/sbin/iptables -A INPUT -p tcp -m multiport --ports 22,80,8080,8110 -j ACCEPT ##允许入站TCP端口22,80,8080,8110
/sbin/iptables -A INPUT -p tcp --syn -m ttl --ttl-eq 117 -j DROP
/sbin/iptables -A INPUT -p tcp --syn -m length --length :40 -j DROP
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP ##丢掉sys非法连接
/sbin/iptables -A FORWARD -s 192.168.0.5 -m mac --mac-source ! 00:11:22:33:44:55 -j DROP ##客户端MAC与IP绑定
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT ##允许网段为192.168.0.0/24通过转发链
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE ##IP伪装
#/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24  -j SNAT --to xxx.xxx.xxx.xxx #如果网关是固定IP的IP伪装
#/sbin/iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 3389 -j DNAT --to-destination 192.168.0.106:3389
###端口转发
/sbin/iptables -t nat -A PREROUTING -p udp -m udp --dport 53 -j REDIRECT --to-ports 53 #透明DNS
/sbin/iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-port 8080 ##透明代理服务
/sbin/iptables -t nat -A PREROUTING -p tcp -m multiport --dport 25,110,995 -j REDIRECT --to-port 8110 #客户端邮件请求(通过TCP 25端口发送/110端口接收/995接收)都经过网关的8110的过滤程序(p3scan)再返回给客户端

iptables防火墙详解
Linux运维老纪的博客
07-28 965
iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)这篇文章给大家介绍下iptables防火墙,防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,在网站内部,最常见的有iptables入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的安全组等等。
iptables--转发流程
香蕉一号
07-01 1442
iptables--基本概念--11.术语2.内核配置3.表和链3.1 概述 1.术语 名称 定义 DNAT Destination Network Address Translation 目的网络地址转换。 DNAT是一种改变数据包目的 ip 地址的技术,经常和 SNAT 联用,以使多台服务器能共享一个 ip 地址连入 Internet,并且继续服务。通过对同一个 ip 地址分配不同的端口,来决定数据的流向。 SNAT Source Network Address Translatio
API网关之数据脚本开发
qq_33594592的博客
07-16 644
API网关 数据脚本 存储过程 结构化SQL
linux单网卡做网关服务器,单网卡网关脚本
weixin_39602615的博客
05-08 220
#!/bin/bashIPTABLES=/sbin/iptablesIFCONFIG=/sbin/ifconfigMODPROBE=/sbin/modprobeif [ $# -lt 1 ]; thenecho Usage $0 GatewayIPexitfiGATEWAYIP=$1echo -n Setup network card ...public_ip=`ifconfig eth0 | s...
Shell脚本之自动切换网关
weixin_34395205的博客
07-18 809
脚本适用于有一个网关一个备用网关的服务网络架构中,自动检测网关是否正常,自动切换网关,自动报警。#!/bin/bashIPA=192.168.100.254#定义网关AIP地址IPB=172.30.8.254#定义网关BIP地址MAIL=admin@ssxiaoguai.com#定义管理员邮箱whiletrue...
linux防火墙iptables常用应用功能实现
锅锅的博客
11-08 1055
1、mac过滤 白名单 iptables -A FORWARD -m mac --mac-source 00:17:31:BB:C5:DE -j ACCEPT 黑名单 iptables -A FORWARD -m mac --mac-source 00:17:31:BB:C5:DE -j REJECT 测试 iptables - 2、ip过滤 白名单 iptables –A FORWARD –s 192.168.10.0/24 –m layer7 –l7proto qq –j ACCEPT 黑名单 ipta
脚本自动化】:编脚本自动维护Docker中的iptables规则
随着信息技术的发展,脚本自动化成为提高运维效率的关键技术之一,尤其在Docker等容器化技术广泛应用的背景下。本文系统介绍了脚本自动化的基本原理、Docker和iptables的基础知识及其在Docker环境中的实践应用。通过...
【网络管理自动化】:脚本简化双网卡配置的6大实用技巧
![【网络管理自动化】:脚本简化双网卡配置的6大...在信息技术的高速发展的今天,网络管理自动化已经成为IT基础架构管理的一个重要分支。网络管理自动化指的是利用软件工具来自动执行网络的配置、监控、故障诊断和报告
利用shell代码防范Linux ARP攻击:实现网关静态绑定
为了应对这种情况,作者提供了一个脚本来保护网络中的路由器(网关)免受ARP攻击。 脚本首先通过`route -n`命令获取网关的IP地址,并利用`grep`和正则表达式提取出网关的名称和MAC地址。接着,它使用`arp -n`命令来...
iptables简单实现IP与MAC绑定上网
03-06
iptables简单实现IP与MAC绑定上网,控制哪点机器可以上网,哪台机器上不了网
iptables命令、规则、参数详解
热门推荐
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
IPtable 工作原理
beacher
11-08 3245
iptables的工作原理和基础架构 iptables 被分为两部分,一部分被称为核心空间,另一部分称为用户空间,在核心空间,iptables从底层实现了数据包过滤的各种功能,比如NAT、状态检测以及高级的数据包的匹配策略等,在用户空间,iptables为用户提供了控制核心空间工作状态的命令集. 首先,当一个包进来的时候,也就是从以太网卡进入防火墙,内核首先根据路由表决定包的目标.如果目
iptables限定只能连接指定的IP和MAC
jshagw的博客
05-28 4016
操作系统 CentOS6.4 x86_64 iptables限定只能连接指定的IP和MAC的目标是:主机连接外面的设备时,要指定IP和MAC,防止外面入侵交换机,将包转发到另外一台不同MAC的设备。 首先要理解iptables的state四种状态 NEW,ESTABLISHED,RELATED,INVALID。 NEW状态:主机连接目标主机,在目标主机上看到的第一个想要连接的包 ESTABLI...
iptables 端口重定向
chlinwei的博客
03-31 8894
#清楚默认规则 iptables -F iptables -X iptables -Z #默认操作 iptables  -P INPUT DROP iptables  -P OUTPUT ACCEPT iptables  -P FORWARD DROP #INPUT基本规则 iptables -A INPUT -m state --state RELATED,ES
路由路由脚本自动切换网关
liushi558
06-09 4598
路由路由脚本自动切换网关,通过ping判断网关的是否存活,来决定切换网关. 一、高级路由 路由路由脚本自动切换网关,通过ping判断网关的是否存活,来决定切换网关 路由脚本雏形: [root@stu86 lianxi]# cat roswap.sh #!/bin/bash while : #死循环 do #做下面的事情 route del default #删除以前的默认网关配置
通过iptables 修改数据包TTL,来隐藏traceroute 时的路由跳数
weixin_33787529的博客
06-08 621
原理程序利用增加存活时间(TTL)值来实现其功能的。每当数据包经过一个路由器,其存活时间就会减1。当其存活时间是0时,主机便取消数据包,并发送一个ICMP TTL数据包给原数据包的发出者。程序发出的首3个数据包TTL值是1,之后3个是2,如此类推,它便得到一连串数据包路径。注意IP不保证每个数据包走的路径都一样。实现主叫方首先发出 TTL=1 的 UDP 数据包,第一个路由...
iptables redirect 劫持跳转引起 Go 服务故障
梦醒人间
08-23 870
???? 这是一个很有趣的事情。由于流量突增临时扩充多个node部署服务,但遇到一个问题全量接口调用失败总是返回无关的返回结果。简单说在服务里本调用其他服务接口,返回的结果莫名其妙。由于出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值