一个iptables脚本 分享iptables脚本的用法
在网上闲逛的时候,发现这个不错的iptables脚本,作者不知道是哪位,向原作者来致敬!也分享出来,供大家来参考
###########################INPUT键###################################
iptables -P INPUT DROP
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport –dports 110,80,25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 –dport 139 -j ACCEPT
#允许内网samba,smtp,pop3,连接
iptables -A INPUT -i eth1 -p udp -m multiport –dports 53 -j ACCEPT
#允许dns连接
iptables -A INPUT -p tcp –dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
#允许外网vpn连接
iptables -A INPUT -s 192.186.0.0/24 -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃
iptables -A INPUT -s 192.186.0.0/24 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃
iptables -A INPUT -p icmp -m limit –limit 3/s -j LOG –log-level INFO –log-prefix “ICMP packet IN: “
iptables -A INPUT -p icmp -j DROP
#禁止icmp通信-ping 不通
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
#内网转发
iptables -N syn-flood
iptables -A INPUT -p tcp –syn -j syn-flood
iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止SYN攻击 轻量
#######################FORWARD链###########################
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport –dports 80,110,21,25,1723 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.0/24 –dport 53 -j ACCEPT
iptables -A FORWARD -p gre -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT
#允许 vpn客户走vpn网络连接外网
iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p udp –dport 53 -m string –string “tencent” -m time –timestart 8:15 –timestop 12:30 –days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的8:00-12:30禁止qq通信
iptables -I FORWARD -p udp –dport 53 -m string –string “TENCENT” -m time –timestart 8:15 –timestop 12:30 –days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的8:00-12:30禁止qq通信
iptables -I FORWARD -p udp –dport 53 -m string –string “tencent” -m time –timestart 13:30 –timestop 20:30 –days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
iptables -I FORWARD -p udp –dport 53 -m string –string “TENCENT” -m time –timestart 13:30 –timestop 20:30 –days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的13:30-20:30禁止QQ通信
iptables -I FORWARD -s 192.168.0.0/24 -m string –string “qq.com” -m time –timestart 8:15 –timestop 12:30 –days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的8:00-12:30禁止qq网页
iptables -I FORWARD -s 192.168.0.0/24 -m string –string “qq.com” -m time –timestart 13:00 –timestop 20:30 –days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#星期一到星期六的13:30-20:30禁止QQ网页
iptables -I FORWARD -s 192.168.0.0/24 -m string –string “ay2000.net” -j DROP
iptables -I FORWARD -d 192.168.0.0/24 -m string –string “宽频影院” -j DROP
iptables -I FORWARD -s 192.168.0.0/24 -m string –string “色情” -j DROP
iptables -I FORWARD -p tcp –sport 80 -m string –string “广告” -j DROP
#禁止ay2000.net,宽频影院,色情,广告网页连接 !但中文 不是很理想
iptables -A FORWARD -m ipp2p –edk –kazaa –bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p –ares -j DROP
iptables -A FORWARD -p udp -m ipp2p –kazaa -j DROP
#禁止BT连接
iptables -A FORWARD -p tcp –syn –dport 80 -m connlimit –connlimit-above 15 –connlimit-mask 24
#######################################################################
sysctl -w net.ipv4.ip_forward=1 &>/dev/null
#打开转发
#######################################################################
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null
#打开 syncookie (轻量级预防 DOS 攻击)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null
#设置默认 TCP 连接痴呆时长为 3800 秒(此选项可以大大降低连接数)
sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/null
#设置支持最大连接树为 30W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节)
#######################################################################
iptables -I INPUT -s 192.168.0.50 -j ACCEPT
iptables -I FORWARD -s 192.168.0.50 -j ACCEPT
#192.168.0.50是我的机子,全部放行!
############################完#########################################
中小型网站可以怎么拒绝服务攻击?从哪几个方面防备?
DoS(Denial of Service)是一种使用合理的效劳恳求占用过多的效劳资源,从而使合法用户无法得到效劳呼应的网络进犯行为。被DoS进犯时的表象大致有:* 被进犯主机上有很多等候的TCP衔接; * 被进犯主机的体系资
详情2018-02-01 09:35:26责编:llp 来源:驱动管家什么是av终结者?av终结者专杀病毒的使用教程
现在电脑用户们面对的病毒不再试单个的,而是一群分工合作的病毒生产、传播、盗号工作室,而且专杀软甲也不是他们的对手,下面的教程就是针对这个问题介绍的如何处理这些病毒。AV终结者(帕虫)是反击杀毒软件,植
详情2018-01-25 10:19:04责编:llp 来源:驱动管家如何获取对方ip地址?用户如何防范自己的ip泄漏?
在正式进行各种“黑客行为”之前,黑客会采取各种手段,探测(也可以说“侦察”)对方的主机信息,以便决定使用何种最有效的方法达到自己的目的。来看看黑客是如何获知最基本的网络信息——对方的IP地址;以及用
详情2018-02-11 15:23:10责编:llp 来源:驱动管家恶意网站是什么网站?恶意网站的相关知识
当我们在访问一些网站是会弹出一些提示,有时候QQ管家、金山毒霸是经常弹出访问提示,不注意就会扣掉很多钱,那么真正的恶意网站又是怎么一回事,又有多少人彻底的明白呢?一起来看看吧。| 前言恶意网站在大家平
详情2018-01-12 15:27:06责编:llp 来源:驱动管家木马程序的工作原理 怎么快速彻底地清除木马病毒?
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知
详情2018-01-24 11:01:23责编:llp 来源:驱动管家office漏洞cve-2012-0158的原理和利用方法
下面小编为大家介绍office漏洞CVE-2012-0158就凭借其经典、通用又稳定的漏洞利用经常出现在各种报告中,详细的讲解这个漏洞的原理,以及如何基于原理手动构造出可利用的POC样本。漏洞原理关于本漏洞原理,网上有
详情2018-02-08 18:35:23责编:llp 来源:驱动管家密码忘了不用怕 按照下面的步骤可以轻松破解win2000的密码
第一步,网站下载NTFSDOS Professional软件,下载后进行安装,安装后执行NTFSDOS Professional Boot Disk Wizard程序,根据向导,会提示依次插入两张软盘,其实能用到的就是第一张。第二步,用Win98软盘或光
详情2018-01-30 11:05:05责编:llp 来源:驱动管家磁盘保护工具 磁盘加密的七种工具
TruCrypt、PGP、FreeOTFE、BitLocker、DriveCrypt和7-Zip,这些加密程序提供了异常可靠的实时加密功能,可以为你确保数据安全,避免数据丢失、被偷以及被窥视。很少有IT专业人士还需要数据安全方面的培训,但是我
详情2018-01-05 16:31:25责编:llp 来源:驱动管家ewebeditor漏洞利用的原理 ewebeditor漏洞如何利用?
漏洞的利用原理很简单,请看Upload asp文件:任何情况下都不允许上传asp脚本文件sAllowExt = Replace(UCase(sAllowExt), "ASP ", " ")修补方法:用以下语句替换上面那局话dim sFileType,Un_FileType,FileTypes
详情2018-01-07 09:12:54责编:llp 来源:驱动管家blog博客程序zblog的漏洞有哪些可利用的代码?
ZBlog是一款基于Asp平台的Blog博客(网志)程序,支持 Wap,支持Firefox,Oprea等浏览器,在国内使用非常广泛,官方主页在http: www rainbowsoft org 。Z-blog代码严谨,前台功能简洁,后台功能强大,这为它的产
详情2018-01-25 09:43:32责编:llp 来源:驱动管家
- ccproxy6.0版代理软件漏洞是什么?如何探测CCProxy代理服务器?
- win8系统/win10系统连接XP系统打印机总是找不到驱动的解决方法图文教程
- 什么是Microsoft Intune?微软Intune功能介绍
- 逍遥安卓模拟器为什么黑屏?逍遥安卓模拟器黑屏怎么解决
- 有什么办法可以提升ipad电池的续航能力
- 笔记本电池损耗怎么办?三种方法帮你修复
- 正式开卖!惠普暗影精灵IIIPro游戏本售价6599元
- 美国说唱歌手50美分已破产 并承认自己并没有比特币
- 亚马逊用超10亿美元收购智能门铃制造商Ring
- 一键还原精灵怎么备份系统?一键还原精灵的使用方法
- win7系统还原为什么打不开?win7系统还原打不开怎么解决
- 小米手机恢复出厂设置的教程(以小米max为例)
- 一加手机怎么样?一加手机有哪些优势?
- 打开任意网页之后IE浏览器自动关闭是怎么回事?如何解决
- 工作组怎么设置?手把手教你设置工作组
- 这里有份mysql注入代码是mysql常见漏洞
- 利用hackrf获取解码之后的gsm网络流量的方法
- 教你在百度手机助手快速绑定Apple ID的方法
- 几何画板怎么快速绘制出三角形内心?几何画板教程
- 学会这几种方法使你的手机电池更耐用