Ubuntu iptables 防火牆設定

新增 iptables 目錄與設定檔
$ mkdir /etc/iptables
$ vim /etc/iptables/iptables.rule

===========以下是 iptables.rule 的內容================

#!/bin/bash

# 請先輸入您的相關參數,不要輸入錯誤了!
  EXTIF="eth0"              # 這個是可以連上 Public IP 的網路介面
  INIF=""               # 內部 LAN 的連接介面;若無請填 ""
  INNET=""    # 內部 LAN 的網域,若沒有內部 LAN 請設定為 ""
  export EXTIF INIF INNET

# 第一部份,針對本機的防火牆設定!###########################
# 1. 先設定好核心的網路功能:
  echo "1" > /proc/sys/net/ipv4/tcp_syncookies
  echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
  for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
        echo "1" > $i
  done
  for i in /proc/sys/net/ipv4/conf/*/log_martians; do
        echo "1" > $i
  done
  for i in /proc/sys/net/ipv4/conf/*/accept_source_route; do
        echo "0" > $i
  done
  for i in /proc/sys/net/ipv4/conf/*/accept_redirects; do
        echo "0" > $i
  done
  for i in /proc/sys/net/ipv4/conf/*/send_redirects; do
        echo "0" > $i
  done

# 2. 清除規則、設定預設政策及開放 lo 與相關的設定值
  PATH=/sbin:/usr/sbin:/bin:/usr/bin; export PATH
  iptables -F
  iptables -X
  iptables -Z
  iptables -P INPUT   DROP
  iptables -P OUTPUT  ACCEPT
  iptables -P FORWARD ACCEPT
  iptables -A INPUT -i lo -j ACCEPT
  iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 3. 啟動額外的防火牆 script 模組
  if [ -f /etc/iptables/iptables.deny ]; then
        sh /etc/iptables/iptables.deny
  fi
  if [ -f /etc/iptables/iptables.allow ]; then
        sh /etc/iptables/iptables.allow
  fi
  if [ -f /etc/iptables/iptables.http ]; then
        sh /etc/iptables/iptables.http
  fi

# 4. 允許某些類型的 ICMP 封包進入
  AICMP="0 3 3/4 4 8 11 12 14 16 18"
  for tyicmp in $AICMP
  do
     iptables -A INPUT -i $EXTIF -p icmp --icmp-type $tyicmp -j ACCEPT
  done

# 5. 允許某些服務的進入,請依照您自己的環境開啟
iptables -A INPUT -p TCP -i $EXTIF --dport  22  -j ACCEPT   # SSH
#iptables -A INPUT -p TCP -i $EXTIF --dport  21  -j ACCEPT   # FTP
#iptables -A INPUT -p TCP -i $EXTIF --dport  25  -j ACCEPT   # SMTP
# iptables -A INPUT -p UDP -i $EXTIF --sport  53  -j ACCEPT   # DNS
# iptables -A INPUT -p TCP -i $EXTIF --sport  53  -j ACCEPT   # DNS
iptables -A INPUT -p TCP -i $EXTIF --dport  80  -j ACCEPT   # HTTP
#iptables -A INPUT -p TCP -i $EXTIF --dport 443  -j ACCEPT   # HTTPS
# iptables -A INPUT -p TCP -i $EXTIF --dport 110  -j ACCEPT   # POP3
#iptables -A INPUT -p TCP -i $EXTIF --dport 3128 -j ACCEPT # proxy
#iptables -A INPUT -p TCP -i $EXTIF --dport 1723 -j ACCEPT # vpn
#iptables -A INPUT -p gre -i $EXTIF -j ACCEPT
#iptables -A INPUT -p TCP -i $EXTIF --dport  3306  -j ACCEPT   # MySQL

# 第二部份,針對後端主機的防火牆設定!##############################
# 1. 先載入一些有用的模組 (好像都不能用...先註解掉)
#  modules="ip_tables iptable_nat ip_nat_ftp ip_nat_irc ip_conntrack ip_conntrack_ftp ip_conntrack_irc"
  for mod in $modules
  do
      testmod=`lsmod | grep "^${mod} " | awk '{print $1}'`
      if [ "$testmod" == "" ]; then
            modprobe $mod
      fi
  done

# 2. 清除 NAT table 的規則吧!
  iptables -F -t nat
  iptables -X -t nat
  iptables -Z -t nat
  iptables -t nat -P PREROUTING  ACCEPT
  iptables -t nat -P POSTROUTING ACCEPT
  iptables -t nat -P OUTPUT      ACCEPT

# 3. 若有雙網卡開放成為路由器,且為 IP 分享器
  if [ "$INIF" != "" ]; then
    iptables -A INPUT -i $INIF -j ACCEPT
    echo "1" > /proc/sys/net/ipv4/ip_forward
    if [ "$INNET" != "" ]; then
      for innet in $INNET
      do
        iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE
      done
    fi
  fi
  # 如果你的 MSN 一直無法連線,或者是某些網站 OK 某些網站不 OK,
  # 可能是 MTU 的問題,那你可以將底下這一行給他取消註解來啟動 MTU 限制範圍
  # iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss \
  #          --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu


# 4. NAT 伺服器後端的 LAN 內對外之伺服器設定
# iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 80  \
#          -j DNAT --to 192.168.1.210:80

# 有 VPN 要設定這個
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
#iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m tcp --tcp-flags SYN,RST SYN \
#         -j TCPMSS --set-mss 1200


# 5. 特殊的功能,包括 Windows 遠端桌面所產生的規則,假設桌面主機為 1.2.3.4
# iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4  --dport 6000 \
#          -j DNAT --to-destination 192.168.100.10
# iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4  --sport 3389 \
#          -j DNAT --to-destination 192.168.100.20


echo 'iptables has changed'


============================================

# 執行讓設定生效
$ sh /etc/iptables/iptables.rule


# 設定開機時自動執行一次設定檔
$ vim /etc/rc.local

加上

sh /etc/iptables/iptables.rule




如果要建立允許與拒絕連線清單的話
$ vim /etc/iptables/iptables.allow
=========iptables.allow的內容================
#!/bin/bash
# 一律允許進入的主機位址
  iptables -A INPUT -i $EXTIF -s 140.112.175.130 -j ACCEPT
=============================================

$ vim /etc/iptables/iptables.deny
=========iptables.deny的內容=================
#!/bin/bash
# 一律阻擋進入的主機位址
#  iptables -A INPUT -i $EXTIF -s xxx.xxx.xxx.xxx -j DROP
=============================================

留言

張貼留言

這個網誌中的熱門文章

c語言-關於#define用法

今天整理了一些#define的用法,與大家共享! 1.簡單的define定義 #define MAXTIME 1000 一個簡單的MAXTIME就定義好了,它代表1000,如果在程式裡面寫 if (i<MAXTIME){.........} 編譯器在處理這個程式碼之前會對MAXTIME進行處理替換為1000。 這樣的定義看起來類似於普通的常數定義CONST,但也有著不同,因為define的定義更像是簡單的文本替換,而不是作為一個量來使用,這個問題在下面反映的尤為突出。 2.define的“函式定義” define可以像函式那樣接受一些參數,如下 #define max(x,y) (x)>(y)?(x):(y); 這個定義就將返回兩個數中較大的那個,看到了嗎?因為這個“函式”沒有類型檢查,就好像一個函式模板似的,當然,它絕對沒有模板那麼安全就是了。可以作為一個簡單的模板來使用而已。 但是這樣做的話存在隱患,例子如下: #define Add(a,b) a+b; 在一般使用的時候是沒有問題的,但是如果遇到如:c * Add(a,b) * d的時候就會出現問題,代數式的本意是a+b然後去和c,d相乘,但是因為使用了define(它只是一個簡單的替換),所以式子實際上變成了 c*a + b*d 另外舉一個例子: #define pin (int*); pin a,b; 本意是a和b都是int型指標,但是實際上變成int* a,b; a是int型指標,而b是int型變數。 這是應該使用typedef來代替define,這樣a和b就都是int型指標了。 所以我們在定義的時候,養成一個良好的習慣,建議所有的層次都要加括號。 3.巨集的單行定義 #define A(x) T_##x #define B(x) #@x #define C(x) #x 我們假設:x=1,則有: A(1)------〉T_1 B(1)------〉'1' C(1)------〉"1" (這裡參考了hustli的文章) 3.define的多行定義 define可以替代多行的程式碼,例如MFC中的巨集定義(非常的經典,雖然讓人看了噁心) #define M
閱讀完整內容

CMD常用網管指令

現階段(GUI)視窗圖示使用者介面幾乎不需要使用CMD指令,但有些指令還不錯用,可以還原電腦 DOS指令集工作列→開始→執行→輸入的指令 工作列→開始→執行→輸入的指令 系統還原 1.按(開始) => 按(關機) => 選(將電腦重新啟動在MS-DOS模式) 2.鍵入C:\WINDOWS>Scanreg/restore 按 3.進入左Microsoft Registry Checker 4.哪裡有Windows最近五日的紀錄 , 選定哪一天後再按 最基本,最常用的,測試物理網路的    ping 192.168.0.8 -t ,參數-t是等待用戶去中斷測試 查看DNS、IP、Mac等    A.Win98:winipcfg    B.Win2000以上:Ipconfig/all 網路信使 Net send 電腦名/IP * (廣播) 傳送內容,注意不能跨網段 net stop messenger 停止信使服務,也可以在面板-服務修改 net start messenger 開始信使服務 探測對方對方電腦名,所在的組、域及當前用戶名 (追捕的工作原理) ping -a IP -t ,只顯示NetBios名 nbtstat -a 192.168.10.146 比較全的 netstat -a 顯示出你的電腦當前所開放的所有埠 netstat -s -e 比較詳細的顯示你的網路資料,包括TCP、UDP、ICMP 和 IP的統計等 探測arp綁定(動態和靜態)列表,顯示所有連接了我的電腦,顯示對方IP和MAC位址 arp -a 在代理伺服器端 捆綁IP和MAC位址,解決局域網內盜用IP!: ARP -s 192.168.10.59 00 -50-ff-6c-08-75 解除網卡的IP與MAC位址的綁定: arp -d 網卡IP 在網路鄰居上隱藏你的電腦 net config server /hidden:yes net config server /hidden:no 則為開啟 幾個net命令 A.顯示當前工作組伺服器列表 net view,當不帶選項使用本命令時, 它就會顯示當前域或網路上的電腦上的列表。 比如:查看這個IP上的共用資源,就可以 C:\>net
閱讀完整內容

PHP 與 JavaScript 之間傳值利用 json

用Json實現PHP與JavaScript間資料交換的方法詳解 php JSON(JavaScript Object Notation) 是一種輕量級的資料交換格式。 簡而論之,不管是xml還是json都是為了方便在客戶端與伺服器端交互資料的中轉站,特別是用於物件型資料,比如最常見的陣列。 下面將分別將陣列從php傳送給javascript,以及將陣列從javascript傳送給php示例說明,例子比較簡單,明白概念即可。不管從php傳送給javascript,還是javascript傳送給php,json在傳送之前都會將物件扁平化即一維化為字元串。 PHP 向 JavaScript 傳值 PHP 文件 json.php <?php $arr = array( 'name' => 'scripts之家', 'nick' => 'Gonn', 'contact' => array( 'email' => 'xxxxxxx@163.com', 'website' => '', ) ); $json_string = json_encode($arr); echo "getProfile($json_string)"; ?> 光執行這個文件,其結果如下: getProfile({"name":"u5e0cu4e9a","nick":"Gonn", "contact":{"email":"xxxxxxx@163.com","website":""}}) json.php 是通過 json_encode 函式將陣列扁平化,然後發送,相反有個 json_decode 函式。 那麼在 JavaScript 如何呼用呢?很簡單,定義一個變數獲取 PHP 傳來的 Json,該 Json 具備物件的特性,我們可以用 array.name 這種方式來獲取該 Json 的屬性。 <script type=
閱讀完整內容