一个iptables脚本分享iptables脚本的用法

2018-03-01 17:27:17责编：llp 来源：驱动管家人气：

在网上闲逛的时候，发现这个不错的iptables脚本，作者不知道是哪位，向原作者来致敬！也分享出来，供大家来参考

###########################INPUT键###################################

iptables -P INPUT DROP

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -m multiport –dports 110,80,25 -j ACCEPT

iptables -A INPUT -p tcp -s 192.168.0.0/24 –dport 139 -j ACCEPT

#允许内网samba,smtp,pop3,连接

iptables -A INPUT -i eth1 -p udp -m multiport –dports 53 -j ACCEPT

#允许dns连接

iptables -A INPUT -p tcp –dport 1723 -j ACCEPT

iptables -A INPUT -p gre -j ACCEPT

#允许外网vpn连接

iptables -A INPUT -s 192.186.0.0/24 -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP

#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃

iptables -A INPUT -s 192.186.0.0/24 -p tcp –syn -m connlimit –connlimit-above 15 -j DROP

#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃

iptables -A INPUT -p icmp -m limit –limit 3/s -j LOG –log-level INFO –log-prefix “ICMP packet IN: “

iptables -A INPUT -p icmp -j DROP

#禁止icmp通信-ping 不通

iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE

#内网转发

iptables -N syn-flood

iptables -A INPUT -p tcp –syn -j syn-flood

iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN

iptables -A syn-flood -j REJECT

#防止SYN攻击轻量

#######################FORWARD链###########################

iptables -P FORWARD DROP

iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport –dports 80,110,21,25,1723 -j ACCEPT

iptables -A FORWARD -p udp -s 192.168.0.0/24 –dport 53 -j ACCEPT

iptables -A FORWARD -p gre -s 192.168.0.0/24 -j ACCEPT

iptables -A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT

#允许 vpn客户走vpn网络连接外网

iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT

iptables -I FORWARD -p udp –dport 53 -m string –string “tencent” -m time –timestart 8:15 –timestop 12:30 –days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

#星期一到星期六的8:00-12:30禁止qq通信

iptables -I FORWARD -p udp –dport 53 -m string –string “TENCENT” -m time –timestart 8:15 –timestop 12:30 –days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

#星期一到星期六的8:00-12:30禁止qq通信

iptables -I FORWARD -p udp –dport 53 -m string –string “tencent” -m time –timestart 13:30 –timestop 20:30 –days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

iptables -I FORWARD -p udp –dport 53 -m string –string “TENCENT” -m time –timestart 13:30 –timestop 20:30 –days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

#星期一到星期六的13:30-20:30禁止QQ通信

iptables -I FORWARD -s 192.168.0.0/24 -m string –string “qq.com” -m time –timestart 8:15 –timestop 12:30 –days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

#星期一到星期六的8:00-12:30禁止qq网页

iptables -I FORWARD -s 192.168.0.0/24 -m string –string “qq.com” -m time –timestart 13:00 –timestop 20:30 –days Mon,Tue,Wed,Thu,Fri,Sat -j DROP

#星期一到星期六的13:30-20:30禁止QQ网页

iptables -I FORWARD -s 192.168.0.0/24 -m string –string “ay2000.net” -j DROP

iptables -I FORWARD -d 192.168.0.0/24 -m string –string “宽频影院” -j DROP

iptables -I FORWARD -s 192.168.0.0/24 -m string –string “色情” -j DROP

iptables -I FORWARD -p tcp –sport 80 -m string –string “广告” -j DROP

#禁止ay2000.net，宽频影院，色情，广告网页连接！但中文不是很理想

iptables -A FORWARD -m ipp2p –edk –kazaa –bit -j DROP

iptables -A FORWARD -p tcp -m ipp2p –ares -j DROP

iptables -A FORWARD -p udp -m ipp2p –kazaa -j DROP

#禁止BT连接

iptables -A FORWARD -p tcp –syn –dport 80 -m connlimit –connlimit-above 15 –connlimit-mask 24

#######################################################################

sysctl -w net.ipv4.ip_forward=1 &>/dev/null

#打开转发

#######################################################################

sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null

#打开 syncookie （轻量级预防 DOS 攻击）

sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>/dev/null

#设置默认 TCP 连接痴呆时长为 3800 秒（此选项可以大大降低连接数）

sysctl -w net.ipv4.ip_conntrack_max=300000 &>/dev/null

#设置支持最大连接树为 30W（这个根据你的内存和 iptables 版本来，每个 connection 需要 300 多个字节）

#######################################################################

iptables -I INPUT -s 192.168.0.50 -j ACCEPT

iptables -I FORWARD -s 192.168.0.50 -j ACCEPT

#192.168.0.50是我的机子，全部放行！

############################完#########################################

中小型网站可以怎么拒绝服务攻击？从哪几个方面防备？
DoS(Denial of Service)是一种使用合理的效劳恳求占用过多的效劳资源，从而使合法用户无法得到效劳呼应的网络进犯行为。被DoS进犯时的表象大致有：* 被进犯主机上有很多等候的TCP衔接; * 被进犯主机的体系资
详情2018-02-01 09:35:26责编：llp 来源：驱动管家
什么是av终结者？av终结者专杀病毒的使用教程
现在电脑用户们面对的病毒不再试单个的，而是一群分工合作的病毒生产、传播、盗号工作室，而且专杀软甲也不是他们的对手，下面的教程就是针对这个问题介绍的如何处理这些病毒。AV终结者(帕虫)是反击杀毒软件，植
详情2018-01-25 10:19:04责编：llp 来源：驱动管家
如何获取对方ip地址？用户如何防范自己的ip泄漏？
在正式进行各种“黑客行为”之前，黑客会采取各种手段，探测（也可以说“侦察”）对方的主机信息，以便决定使用何种最有效的方法达到自己的目的。来看看黑客是如何获知最基本的网络信息——对方的IP地址；以及用
详情2018-02-11 15:23:10责编：llp 来源：驱动管家
恶意网站是什么网站？恶意网站的相关知识
当我们在访问一些网站是会弹出一些提示，有时候QQ管家、金山毒霸是经常弹出访问提示，不注意就会扣掉很多钱，那么真正的恶意网站又是怎么一回事，又有多少人彻底的明白呢？一起来看看吧。| 前言恶意网站在大家平
详情2018-01-12 15:27:06责编：llp 来源：驱动管家
木马程序的工作原理怎么快速彻底地清除木马病毒？
由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知
详情2018-01-24 11:01:23责编：llp 来源：驱动管家
office漏洞cve-2012-0158的原理和利用方法
下面小编为大家介绍office漏洞CVE-2012-0158就凭借其经典、通用又稳定的漏洞利用经常出现在各种报告中，详细的讲解这个漏洞的原理，以及如何基于原理手动构造出可利用的POC样本。漏洞原理关于本漏洞原理，网上有
详情2018-02-08 18:35:23责编：llp 来源：驱动管家
密码忘了不用怕按照下面的步骤可以轻松破解win2000的密码
第一步，网站下载NTFSDOS Professional软件，下载后进行安装，安装后执行NTFSDOS Professional Boot Disk Wizard程序，根据向导，会提示依次插入两张软盘，其实能用到的就是第一张。第二步，用Win98软盘或光
详情2018-01-30 11:05:05责编：llp 来源：驱动管家
磁盘保护工具磁盘加密的七种工具
TruCrypt、PGP、FreeOTFE、BitLocker、DriveCrypt和7-Zip，这些加密程序提供了异常可靠的实时加密功能，可以为你确保数据安全，避免数据丢失、被偷以及被窥视。很少有IT专业人士还需要数据安全方面的培训，但是我
详情2018-01-05 16:31:25责编：llp 来源：驱动管家
ewebeditor漏洞利用的原理 ewebeditor漏洞如何利用？
漏洞的利用原理很简单，请看Upload asp文件：任何情况下都不允许上传asp脚本文件sAllowExt = Replace(UCase(sAllowExt), "ASP ", " ")修补方法：用以下语句替换上面那局话dim sFileType,Un_FileType,FileTypes
详情2018-01-07 09:12:54责编：llp 来源：驱动管家
blog博客程序zblog的漏洞有哪些可利用的代码？
ZBlog是一款基于Asp平台的Blog博客(网志)程序，支持 Wap，支持Firefox，Oprea等浏览器，在国内使用非常广泛，官方主页在http: www rainbowsoft org 。Z-blog代码严谨，前台功能简洁，后台功能强大，这为它的产
详情2018-01-25 09:43:32责编：llp 来源：驱动管家

一个iptables脚本 分享iptables脚本的用法

一个iptables脚本分享iptables脚本的用法