【linux工具之iptables 脚本】
转自:
#!/bin/bash
PATH=/sbin:/usr/sbin:/bin:/usr/bin
RC_SQUID=/etc/rc.d/init.d/squid
# 對外連線
EXTIF="eth1"
# 對內連線
INTIF="eth0"
INNET="192.168.100.1/24"
# 針對 NAT & DHCP
NATNET="eth2"
NTNET="192.168.21.1/24"
#掛入相關 module
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
# 先清除所有的防火牆規則
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -Z -t nat
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
# 開放特定Port
/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 22 -j DROP # SSH
/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 25 -j ACCEPT # SMTP
/sbin/iptables -A INPUT -p UDP -i $EXTIF --dport 53 -j ACCEPT # DNS
/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 53 -j ACCEPT # DNS
/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 80 -j ACCEPT # WWW
/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 110 -j ACCEPT # POP3
/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 113 -j ACCEPT # AUTH
/sbin/iptables -A INPUT -p TCP -i $INTIF --dport 137 -j ACCEPT # SMB
/sbin/iptables -A INPUT -p TCP -i $INTIF --dport 138 -j ACCEPT # SMB
/sbin/iptables -A INPUT -p TCP -i $INTIF --dport 139 -j ACCEPT # SMB
/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 7021 -j ACCEPT # VFTP
/sbin/iptables -A INPUT -p TCP -i $EXTIF --dport 6080 -j ACCEPT # WWW
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t filter -A FORWARD -i eth1 -o eth2 -m state --state ESTABLISHED,RELATE -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth2 -o eth1 -p tcp -s 192.168.100.0/24 --dport 6080 -j ACCEPT
# 啟動所有介面的來源 IP 查核
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for f in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 〉 $f
done
fi
# 防止 sync flood 攻擊
/sbin/iptables -N synfoold
/sbin/iptables -A synfoold -p tcp --syn -m limit --limit 1/s -j RETURN
/sbin/iptables -A synfoold -p tcp -j REJECT --reject-with tcp-reset
/sbin/iptables -A INPUT -p tcp -m state --state NEW -j synfoold
# 防止 Ping of Death
/sbin/iptables -N ping
/sbin/iptables -A ping -p icmp --icmp-type echo-request -m limit --limit 1/second -j RETURN
/sbin/iptables -A ping -p icmp -j REJECT
/sbin/iptables -I INPUT -p icmp --icmp-type echo-request -m state --state NEW -j ping
# 防止惡意掃描
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
/sbin/iptables -A INPUT -i $EXTIF -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# 來自內部的連線一律放行
/sbin/iptables -A INPUT -i $INTIF -j ACCEPT
/sbin/iptables -A INPUT -i $NATNET -j ACCEPT
# 重導 www 請求至 Squid (透通代理)
# 如果您有架設 Proxy Server 可以將註解拿掉
# 這樣可以強迫使用者使用 Proxy 而不必修改 Client 端設定
/sbin/iptables -t nat -A PREROUTING -i $NATNET -p tcp --dport 80 -j REDIRECT --to -port 6080
# 啟動 IP 偽裝
/sbin/iptables -t nat -A POSTROUTING -s $NATNET -o $EXTIF -j MASQUERADE
# 阻擋指定的網卡號碼
# 這是 Kernel 2.4 系列新功能,主要防止 Client 非法搶 IP
# /sbin/iptables -A INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
# 最後擋掉其他外部連線要求
/sbin/iptables -A INPUT -i $NATNET -m state --state NEW,INVALID -j DROP
/sbin/iptables -A FORWARD -i $NATNET -m state --state NEW,INVALID -j DROP
# 防止超量攻擊
echo 1 〉 /proc/sys/net/ipv4/tcp_syncookies
# 啟動 IP 轉送
echo 1 〉 /proc/sys/net/ipv4/ip_forward