linux iptable 设置实践
下面是设置网络时的基本状况:
主机3个网卡:
eth0 192.168.0.1/24 内网
eth1 192.168.20.1/24 外网
eth2 192.168.50.1/24 会议室网络
ppp0 ( 设置为 eth1 上拨号上网)
DHCP设置:
192.168.0.1/24 { 192.168.0.100----192.168.0.200 }
192.168.50.1/24 {192.168.50.100---192.168.50.200 }
VPN设置:
localip: 192.168.10.1
remoteip: 192.168.10. 100 192.168.10.150
下面是firewall的具体设置:
[root@yujiagw ~]# cat firewall
#!/bin/sh
iptables -F
iptables -t nat -F
iptables -P FORWARD ACCEPT
iptables -X poweruser
iptables -X qquser
iptables -X httpuser
# NAT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 25 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 110 -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 443
#iptables -t nat -A PREROUTING -p udp --dport 443 -j REDIRECT --to-port 443
# Port Forwarding
#iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to 192.168.0.4:3389
#iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.4:80
#iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8080 -j DNAT --to 192.168.50.2:8080
#iptables -A FORWARD -d 192.168.50.2 -p tcp --dport 8080 -j ACCEPT
#iptables -t nat -A POSTROUTING -d 192.168.50.2 -p tcp --dport 8080 -j SNAT --to 192.168.0.1
# Basic Port Open
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
# VPN
iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.10.0/24 -j ACCEPT
# Conference Room
iptables -A FORWARD -s 192.168.50.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.50.0/24 -j ACCEPT
# Set Connect WAN
iptables -A FORWARD -d 192.168.50.0/24 -j ACCEPT
# HeQuanXin
#iptables -A FORWARD -m mac --mac-source 00:1A:6B:35:A5:66 -j ACCEPT
#iptables -A FORWARD -m mac --mac-source 44:D8:84:0A:9F:5D -j ACCEPT
#-----------------------------------PowerUser-------define------------------------
iptables -N poweruser
iptables -A poweruser -j ACCEPT
#---------------------------------httpuser define-----------------
# Set Http User
iptables -N httpuser
iptables -A httpuser -p tcp --dport 53 -j ACCEPT
iptables -A httpuser -p udp --dport 53 -j ACCEPT
# Reject QQZone
iptables -A httpuser -d user.qzone.qq.com -j REJECT
iptables -A httpuser -p tcp --dport 80 -j ACCEPT
iptables -A httpuser -p udp --dport 80 -j ACCEPT
iptables -A httpuser -p tcp --dport 25 -j ACCEPT
iptables -A httpuser -p tcp --dport 110 -j ACCEPT
iptables -A httpuser -p tcp --dport 443 -j ACCEPT
iptables -A httpuser -p udp --dport 443 -j ACCEPT
iptables -A httpuser -j DROP
#-----------------------------------User-------start------------------------
# HeQuanXin
iptables -A FORWARD -m mac --mac-source 00:1A:6B:35:A5:66 -j httpuser
# xiangshude
iptables -A FORWARD -m mac --mac-source 00:E0:4C:41:49:C4 -j httpuser
# shiyayun
iptables -A FORWARD -m mac --mac-source C8:9C:DC:D2:55:7A -j poweruser
# chenmingxiang
iptables -A FORWARD -m mac --mac-source 54:04:A6:58:A3:EE -j poweruser
# wangxiaoping
iptables -A FORWARD -m mac --mac-source 00:B0:C4:04:A1:7E -j httpuser
# chengmeirong
iptables -A FORWARD -m mac --mac-source 90:2B:34:2D:E6:5B -j httpuser
# zhangyinbo
iptables -A FORWARD -m mac --mac-source 14:DA:E9:D2:3F:DF -j httpuser
# luxiaoxiong
iptables -A FORWARD -m mac --mac-source 90:2B:34:CB:31:EE -j httpuser
#-----------------------------------HTTPUser-------end--------------------------
#-----------------------------------------------------------------------------------
# Block Xunlei
iptables -A FORWARD -d 58.61.39.0/24 -j REJECT
iptables -A FORWARD -d 121.9.209.6 -j REJECT
iptables -A FORWARD -d 121.9.209.7 -j REJECT
iptables -A FORWARD -d 121.9.209.3 -j REJECT
iptables -A FORWARD -d 61.183.55.216 -j REJECT
iptables -A FORWARD -d 61.183.55.218 -j REJECT
iptables -A FORWARD -d 61.183.55.222 -j REJECT
iptables -A FORWARD -d 220.172.191.36 -j REJECT
iptables -A FORWARD -d 121.11.69.108 -j REJECT
iptables -A FORWARD -d 125.91.8.77 -j REJECT
iptables -A FORWARD -d 218.6.13.134 -j REJECT
iptables -A FORWARD -d 219.133.48.0/24 -j REJECT
iptables -A FORWARD -d 219.133.49.0/24 -j REJECT
iptables -A FORWARD -d 219.129.83.0/24 -j REJECT
iptables -A FORWARD -d 219.133.60.0/24 -j REJECT
iptables -A FORWARD -d 210.21.118.141 -j REJECT
iptables -A FORWARD -d 210.21.118.147 -j REJECT
iptables -A FORWARD -d 210.21.118.149 -j REJECT
iptables -A FORWARD -d 221.238.251.118 -j REJECT
iptables -A FORWARD -d 221.238.252.127 -j REJECT
iptables -A FORWARD -d 221.238.252.154 -j REJECT
iptables -A FORWARD -d 221.238.252.155 -j REJECT
iptables -A FORWARD -d 221.238.252.233 -j REJECT
iptables -A FORWARD -d 221.238.253.246 -j REJECT
iptables -A FORWARD -d 222.208.156.0/24 -j REJECT
iptables -A FORWARD -d 203.110.168.233 -j REJECT
iptables -A FORWARD -d 208.115.244.194 -j REJECT
iptables -A FORWARD -d 65.19.183.185 -j REJECT
#Block BT
iptables -A FORWARD -p tcp --dport 6880:6881 -j REJECT
iptables -A FORWARD -p udp --dport 6880:6881 -j REJECT
# Invalid connect drop
iptables -A FORWARD -m state --state INVALID -j DROP
# Accept the already establised connection
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Set the FORWARD chain to DENY
iptables -P FORWARD DROP
linux iptable 设置实践的更多相关文章
- 通过sed -i ,通过准备好的sh脚本,来设置linux iptable白名单
通过准备好的sh脚本,来设置linux iptable白名单 特定字符串的行前插入新行 sed -i '/特定字符串/i 新行字符串' file #!/bin/bash del_stdin_buf() ...
- 【转载】Linux小白最佳实践:《超容易的Linux系统管理入门书》(连载六)Linux的网络配置
本篇是Linux小白最佳实践第6篇,目的就是让白菜们了解Linux网络是如何配置的.Linux系统在服务器市场占有很大的份额,尤其在互连网时代,要使用计算机就离不开网络. 想每天能听到小妞的语音播报, ...
- Linux及安全实践五——字符集编码
Linux及安全实践五——字符集编码 一.ASCII码 在表中查找出英文字母LXQ相对应的十六进制数值为: 4c 58 51 在终端中输入命令:vim test1.txt 在vim页面输入命令:%!x ...
- linux IPtable防火墙 禁止和开放端口(转)
linux IPtable防火墙 禁止和开放端口源:http://hi.baidu.com/zplllm/item/f910cb26b621db57c38d5983评: 1.关闭所有的 INPUT F ...
- Linux防火墙设置——iptables
防火墙用于监控往来流量,并根据用户定义的规则来过滤数据包以保证安全.iptables是Linux下设置防火墙规则的常用工具,它可以让你设置.维护以及查看防火墙的规则表.你可以定义多个表,每个表可以包含 ...
- Linux scp 设置nohup后台运行
Linux scp 设置nohup后台运行 1.正常执行scp命令 2.输入ctrl + z 暂停任务 3.bg将其放入后台 4.disown -h 将这个作业忽略HUP信号 5.测试会话中断,任务继 ...
- Linux 权限设置chmod
Linux中设置权限,一般用chmod命令 1.介绍 权限设置chmod 功能:改变权限命令.常用参数: 1=x(执行权execute) 2=w(写权write) 4=r(读权Read) setuid ...
- 在linux中设置静态ip地址
在linux中设置静态ip地址1.在终端中输入:vi /etc/sysconfig/network-scripts/ifcfg-eth0 2.开始编辑,填写ip地址.子网掩码.网关.DNS等[root ...
- 第一种SUSE Linux IP设置方法
第一种SUSE Linux IP设置方法ifconfig eth0 192.168.1.22 netmask 255.255.255.0 uproute add default gw 192.168. ...
随机推荐
- 新服务器部署sqlserver之前的准备
当你有一个新的服务器需要部署的时候,如果没有部署过的经验很可能会走很多误区,并且给以后的维护工作加大难度,我在这就把我部署服务器的一些经验跟大家分享一下. 1.登陆服务器以后先将物理盘按照64k为分配 ...
- Oracle 11g sys,system 密码忘记设置解决办法
原文:Oracle 11g sys,system 密码忘记设置解决办法 1.启动sqlplus 2.请输入用户名: sqlplus/as sysdba 3.输入口令: 直接回车 4.连接到: Ora ...
- 【淡墨Unity3D Shader计划】五 圣诞用品: Unity在Shader三种形式的控制&混合操作编译
本系列文章由@浅墨_毛星云 出品,转载请注明出处. 文章链接:http://blog.csdn.net/poem_qianmo/article/details/42060963 作者:毛星云(浅墨) ...
- YUV格式转换RGB(基于opencv)
在编写代码将需要处理YUV格从每个视频帧中提取,然后将其保存为图片.有两种常见的方法在线,第一种是通过opencv自带cvCvtColor,可是这样的方法有bug.得到的图片会泛白.另外一种方法是公式 ...
- C# 标签(条码)
C# 标签(条码) 上一篇说到条码的打印,主要是通过读取模板定义文件(XML文件),然后结合从数据库中读取的动态数据结合而产生条码.下面主要说一下如何设计这个条码模板.设计过程也很简单,只需要简单的拖 ...
- DDD分层架构之领域实体(验证篇)
DDD分层架构之领域实体(验证篇) 在应用程序框架实战十四:DDD分层架构之领域实体(基础篇)一文中,我介绍了领域实体的基础,包括标识.相等性比较.输出实体状态等.本文将介绍领域实体的一个核心内容—— ...
- Office文档在线编辑的实现之一
因为项目的关系,研究了一下Office的在线编辑功能,写出来共享一下. Office xp之后的版本支持通过webdav协议(http的扩展)直接编辑服务器上的文件. IIS(6.0)支持webdav ...
- 如何配置Spring的XML文件及使用
App.config <?xml version="1.0" encoding="utf-8" ?> <configuration> & ...
- MVC 过滤器3
ASP.NET MVC 过滤器(三) ASP.NET MVC 过滤器(三) 前言 本篇讲解行为过滤器的执行过程,过滤器实现.使用方式有AOP的意思,可以通过学习了解过滤器在框架中的执行过程从而获得一些 ...
- Java(5/6和8)中interface和Abstract Class
这篇文章主要是自己在使用java的过程中对自己一些之前常困惑的问题的一些总结. 正如题目所言,这篇博客主要是讨论java中的接口与抽象类的区别,有自己的使用心得,以及自己平时在使用的过程中遇到的问题及 ...