(OK) Fedora 23——CORE——docker——(4)——> iptables_core.sh

#!/bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

#网卡：上外、下内
#上外 192.168.0.100
#下内 172.16.0.254
#INET_IF="ppp0"
INET_IF="enp13s0"
LAN_IF="b.ctrl0net.6a"
#INET_IP="192.168.0.100"
INET_IP="10.108.162.164"
LAN_IP="172.16.0.254"
LAN_IP_RANGE="172.16.0.0/24"
#LAN_WWW="172.16.0.6"
IPT="/sbin/iptables"
#TC="/sbin/tc"
MODPROBE="/sbin/modprobe"

M O D P R O B E i p_{t} a b l e s

$MODPROBE ip_tables$ MODPROBE iptable_nat

M O D P R O B E i p_{n} a t_{f} t p

$MODPROBE ip_nat_ftp$ MODPROBE ip_nat_irc

M O D P R O B E i p t_{m} a r k

$MODPROBE ipt_mark$ MODPROBE ip_conntrack

M O D P R O B E i p_{c} o n n t r a c k_{f} t p

$MODPROBE ip_conntrack_ftp$ MODPROBE ip_conntrack_irc

M O D P R O B E i p t_{M} A S Q U E R A D E f o r T A B L E i n f i l t e r n a t m a n g l e; d o

$MODPROBE ipt_MASQUERADE for TABLE in filter nat mangle ; do$ IPT -t

T A B L E - F

$TABLE -F$ IPT -t

T A B L E - X

$TABLE -X$ IPT -t

T A B L E - Z d o n e

$TABLE -Z done$ IPT -P INPUT DROP

I P T - P O U T P U T A C C E P T

$IPT -P OUTPUT ACCEPT$ IPT -P FORWARD DROP

I P T - t n a t - P P R E R O U T I N G A C C E P T

$IPT -t nat -P PREROUTING ACCEPT$ IPT -t nat -P OUTPUT ACCEPT

IPT -t nat -P POSTROUTING ACCEPT  # 拒绝INTERNET客户访问 #

$IPT -t nat -P POSTROUTING ACCEPT # 拒绝INTERNET客户访问 #$ IPT -A INPUT -i

I N E T_{I} F - m s t a t e - - s t a t e R E L A T E D, E S T A B L I S H E D - j A C C E P T

$INET_IF -m state --state RELATED,ESTABLISHED -j ACCEPT$ IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#

I P T - A I N P U T - i

$IPT -A INPUT -i$ INET_IF -p tcp -s 123.5.0.0/16 --dport 22 -j ACCEPT

I P T - A I N P U T - p t c p - - d p o r t 22 - j A C C E P T

$IPT -A INPUT -p tcp --dport 22 -j ACCEPT$ IPT -A INPUT -i

I N E T_{I} F - m s t a t e - - s t a t e N E W, I N V A L I D - j D R O P f o r D N S i n

$INET_IF -m state --state NEW,INVALID -j DROP for DNS in$ (grep ^n /etc/resolv.conf|awk '{print

2}'); do

$2}'); do$ IPT -A INPUT -p tcp -s

D N S - - s p o r t d o m a i n - j A C C E P T

$DNS --sport domain -j ACCEPT$ IPT -A INPUT -p udp -s

DNS --sport domain -j ACCEPT done  # anti bad scaning

$DNS --sport domain -j ACCEPT done # anti bad scaning$ IPT -A INPUT -i

I N E T_{I} F - p t c p - - t c p - f l a g s A L L F I N, U R G, P S H - j D R O P

$INET_IF -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP$ IPT -A INPUT -i

I N E T_{I} F - p t c p - - t c p - f l a g s A L L A L L - j D R O P

$INET_IF -p tcp --tcp-flags ALL ALL -j DROP$ IPT -A INPUT -i

I N E T_{I} F - p t c p - - t c p - f l a g s A L L S Y N, R S T, A C K, F I N, U R G - j D R O P

$INET_IF -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP$ IPT -A INPUT -i

I N E T_{I} F - p t c p - - t c p - f l a g s A L L N O N E - j D R O P

$INET_IF -p tcp --tcp-flags ALL NONE -j DROP$ IPT -A INPUT -i

I N E T_{I} F - p t c p - - t c p - f l a g s S Y N, R S T S Y N, R S T - j D R O P

$INET_IF -p tcp --tcp-flags SYN,RST SYN,RST -j DROP$ IPT -A INPUT -i

INET_IF -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP  #

$INET_IF -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP #$ IPT -t nat -A PREROUTING -d

I N E T_{I} P - p t c p - - d p o r t 8008 - j D N A T - - t o - d e s t i n a t i o n

$INET_IP -p tcp --dport 8008 -j DNAT --to-destination$ LAN_WWW:8008
#

I P T - t n a t - A P R E R O U T I N G - d

$IPT -t nat -A PREROUTING -d$ INET_IP -p tcp --dport 22 -j DNAT --to-destination

L A N_{W} W W : 22 i f [

$LAN_WWW:22 if [$ INET_IF = "ppp0" ] ; then

I P T - t n a t - A P O S T R O U T I N G - o

$IPT -t nat -A POSTROUTING -o$ INET_IF -s

L A N_{I} P_{R} A N G E - j M A S Q U E R A D E e l s e

$LAN_IP_RANGE -j MASQUERADE else$ IPT -t nat -A POSTROUTING -o

I N E T_{I} F - s

$INET_IF -s$ LAN_IP_RANGE -j SNAT --to-source

INET_IP fi  #no limit #

$INET_IP fi #no limit #$ IPT -A FORWARD -s 192.168.1.216 -m mac --mac-source 00:15:17:F7:AB:84 -j ACCEPT
#

IPT -A FORWARD -d 192.168.1.216 -j ACCEPT  #

$IPT -A FORWARD -d 192.168.1.216 -j ACCEPT #$ IPT -A FORWARD -p tcp -d !

LAN_IP_RANGE -m multiport --dports ! 20,21,22,25,53,80,110,443,8080 -j DROP #

$LAN_IP_RANGE -m multiport --dports ! 20,21,22,25,53,80,110,443,8080 -j DROP #$ IPT -A FORWARD -p udp -d !

LAN_IP_RANGE -m multiport --dports ! 20,21,22,25,53,80,110,443,8080 -j DROP  #MAC、IP地址绑定 #

$LAN_IP_RANGE -m multiport --dports ! 20,21,22,25,53,80,110,443,8080 -j DROP #MAC、IP地址绑定 #$ IPT -A FORWARD -s 192.168.1.11 -m mac --mac-source 44-87-FC-44-B9-6E -j ACCEPT

I P T - A F O R W A R D - s 172.16.0.1 - j A C C E P T

$IPT -A FORWARD -s 172.16.0.1 -j ACCEPT$ IPT -A FORWARD -s 172.16.0.2 -j ACCEPT

I P T - A F O R W A R D - s 172.16.0.3 - j A C C E P T

$IPT -A FORWARD -s 172.16.0.3 -j ACCEPT$ IPT -A FORWARD -s 172.16.0.4 -j ACCEPT

I P T - A F O R W A R D - s 172.16.0.5 - j A C C E P T

$IPT -A FORWARD -s 172.16.0.5 -j ACCEPT$ IPT -A FORWARD -s 172.16.0.6 -j ACCEPT

I P T - A F O R W A R D - s 172.16.0.7 - j A C C E P T

$IPT -A FORWARD -s 172.16.0.7 -j ACCEPT$ IPT -A FORWARD -s 172.16.0.8 -j ACCEPT

I P T - A F O R W A R D - s 172.16.0.9 - j A C C E P T

$IPT -A FORWARD -s 172.16.0.9 -j ACCEPT$ IPT -A FORWARD -s 172.16.0.10 -j ACCEPT

I P T - A F O R W A R D - s 172.16.0.11 - j A C C E P T

$IPT -A FORWARD -s 172.16.0.11 -j ACCEPT$ IPT -A FORWARD -s 172.16.0.12 -j ACCEPT

I P T - A F O R W A R D - d 172.16.0.1 - j A C C E P T

$IPT -A FORWARD -d 172.16.0.1 -j ACCEPT$ IPT -A FORWARD -d 172.16.0.2 -j ACCEPT

I P T - A F O R W A R D - d 172.16.0.3 - j A C C E P T

$IPT -A FORWARD -d 172.16.0.3 -j ACCEPT$ IPT -A FORWARD -d 172.16.0.4 -j ACCEPT

I P T - A F O R W A R D - d 172.16.0.5 - j A C C E P T

$IPT -A FORWARD -d 172.16.0.5 -j ACCEPT$ IPT -A FORWARD -d 172.16.0.6 -j ACCEPT

I P T - A F O R W A R D - d 172.16.0.7 - j A C C E P T

$IPT -A FORWARD -d 172.16.0.7 -j ACCEPT$ IPT -A FORWARD -d 172.16.0.8 -j ACCEPT

I P T - A F O R W A R D - d 172.16.0.9 - j A C C E P T

$IPT -A FORWARD -d 172.16.0.9 -j ACCEPT$ IPT -A FORWARD -d 172.16.0.10 -j ACCEPT

I P T - A F O R W A R D - d 172.16.0.11 - j A C C E P T

$IPT -A FORWARD -d 172.16.0.11 -j ACCEPT$ IPT -A FORWARD -d 172.16.0.12 -j ACCEPT

posted @ 2016-05-07 21:49 张同光阅读(98) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

阅读排行：
· 无需6万激活码！GitHub神秘组织3小时极速复刻Manus，手把手教你使用OpenManus搭建本
· Manus爆火，是硬核还是营销？
· 终于写完轮子一部分：tcp代理了，记录一下
· 别再用vector＜bool＞了！Google高级工程师：这可能是STL最大的设计失误
· 单元测试从入门到精通

公告

昵称：张同光
园龄： 8年11个月
粉丝： 70
关注： 0

+加关注

2025年3月

日

一

二

三

四

五

六

张同光 (Tongguang Zhang)

张同光 (Tongguang Zhang)：Hello everyone !
Let us make progress together every day ! —— 微信号：ztguang

(OK) Fedora 23——CORE——docker——(4)——> iptables_core.sh

公告

搜索

常用链接

最新随笔

我的标签

积分与排名

随笔分类 (929)

随笔档案 (3269)

阅读排行榜

评论排行榜

推荐排行榜

最新评论

张同光 (Tongguang Zhang)

张同光 (Tongguang Zhang)：Hello everyone ! Let us make progress together every day ! —— 微信号：ztguang

(OK) Fedora 23——CORE——docker——(4)——> iptables_core.sh

公告

搜索

常用链接

最新随笔

我的标签

积分与排名

随笔分类 (929)

随笔档案 (3269)

阅读排行榜

评论排行榜

推荐排行榜

最新评论

张同光 (Tongguang Zhang)：Hello everyone !
Let us make progress together every day ! —— 微信号：ztguang