仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 1708|回复: 8
打印 上一主题 下一主题

[shell编程] 来一发一个典范有用的iptables shell剧本

[复制链接]
灵魂腐蚀 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:18:53 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
欢迎大家来到仓酷云论坛!先注释一下iptables里的参数意义:
A:增加(跟链)
-I:拔出
-p:跟协定
-s:源IP
-d:方针IP
-j:操纵举动
-t:加表
--to-source:SNAT用,暗示改成的SNAT源地点
--to-destination:DNAT用,暗示改成的DANT方针地点

ACCEPT经由过程
DROP欠亨过
  1. -s210.22.23.0/24暗示来历的IP地点的是:210.22.23.0到210.22.23.255这个段
复制代码
封IP段的下令是
iptables-IINPUT-s124.115.0.0/16-jDROP
iptables-IINPUT-s124.115.3.0/16-jDROP
iptables-IINPUT-s124.115.4.0/16-jDROP



#!/bin/sh
#
modprobeipt_MASQUERADE
modprobeip_conntrack_ftp
modprobeip_nat_ftp
iptables-F
iptables-tnat-F
iptables-X
iptables-tnat-X
###########################INPUT键###################################

iptables-PINPUTDROP
iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
iptables-AINPUT-ptcp-mmultiport--dports110,80,25-jACCEPT
iptables-AINPUT-ptcp-s192.168.0.0/24--dport139-jACCEPT
#同意内网samba,smtp,pop3,毗连
iptables-AINPUT-ieth1-pudp-mmultiport--dports53-jACCEPT
#同意dns毗连
iptables-AINPUT-ptcp--dport1723-jACCEPT
iptables-AINPUT-pgre-jACCEPT
#同意外网vpn毗连
iptables-AINPUT-s192.186.0.0/24-ptcp-mstate--stateESTABLISHED,RELATED-jACCEPT
iptables-AINPUT-ippp0-ptcp--syn-mconnlimit--connlimit-above15-jDROP
#为了避免DOS太多毗连出去,那末能够同意最多15个初始毗连,凌驾的抛弃
iptables-AINPUT-s192.186.0.0/24-ptcp--syn-mconnlimit--connlimit-above15-jDROP
#为了避免DOS太多毗连出去,那末能够同意最多15个初始毗连,凌驾的抛弃
iptables-AINPUT-picmp-mlimit--limit3/s-jLOG--log-levelINFO--log-prefix"ICMPpacketIN:"
iptables-AINPUT-picmp-jDROP
#克制icmp通讯-ping欠亨
iptables-tnat-APOSTROUTING-oppp0-s192.168.0.0/24-jMASQUERADE
#内网转发
iptables-Nsyn-flood
iptables-AINPUT-ptcp--syn-jsyn-flood
iptables-Isyn-flood-ptcp-mlimit--limit3/s--limit-burst6-jRETURN
iptables-Asyn-flood-jREJECT
#避免SYN打击轻量
#######################FORWARD链###########################
iptables-PFORWARDDROP
iptables-AFORWARD-ptcp-s192.168.0.0/24-mmultiport--dports80,110,21,25,1723-jACCEPT
iptables-AFORWARD-pudp-s192.168.0.0/24--dport53-jACCEPT
iptables-AFORWARD-pgre-s192.168.0.0/24-jACCEPT
iptables-AFORWARD-picmp-s192.168.0.0/24-jACCEPT
#同意vpn客户走vpn收集毗连外网
iptables-AFORWARD-mstate--stateESTABLISHED,RELATED-jACCEPT
iptables-IFORWARD-pudp--dport53-mstring--string"tencent"-mtime--timestart8:15--timestop12:30--daysMon,Tue,Wed,Thu,Fri,Sat-jDROP
#礼拜一到礼拜六的8:00-12:30克制qq通讯
iptables-IFORWARD-pudp--dport53-mstring--string"TENCENT"-mtime--timestart8:15--timestop12:30--daysMon,Tue,Wed,Thu,Fri,Sat-jDROP
#礼拜一到礼拜六的8:00-12:30克制qq通讯
iptables-IFORWARD-pudp--dport53-mstring--string"tencent"-mtime--timestart13:30--timestop20:30--daysMon,Tue,Wed,Thu,Fri,Sat-jDROP
iptables-IFORWARD-pudp--dport53-mstring--string"TENCENT"-mtime--timestart13:30--timestop20:30--daysMon,Tue,Wed,Thu,Fri,Sat-jDROP
#礼拜一到礼拜六的13:30-20:30克制QQ通讯
iptables-IFORWARD-s192.168.0.0/24-mstring--string"qq.com"-mtime--timestart8:15--timestop12:30--daysMon,Tue,Wed,Thu,Fri,Sat-jDROP
#礼拜一到礼拜六的8:00-12:30克制qq网页
iptables-IFORWARD-s192.168.0.0/24-mstring--string"qq.com"-mtime--timestart13:00--timestop20:30--daysMon,Tue,Wed,Thu,Fri,Sat-jDROP
#礼拜一到礼拜六的13:30-20:30克制QQ网页
iptables-IFORWARD-s192.168.0.0/24-mstring--string"ay2000.net"-jDROP
iptables-IFORWARD-d192.168.0.0/24-mstring--string"宽频影院"-jDROP
iptables-IFORWARD-s192.168.0.0/24-mstring--string"色情"-jDROP
iptables-IFORWARD-ptcp--sport80-mstring--string"告白"-jDROP
#克制ay2000.net,宽频影院,色情,告白网页毗连!但中文不是很幻想
iptables-AFORWARD-mipp2p--edk--kazaa--bit-jDROP
iptables-AFORWARD-ptcp-mipp2p--ares-jDROP
iptables-AFORWARD-pudp-mipp2p--kazaa-jDROP
#克制BT毗连
iptables-AFORWARD-ptcp--syn--dport80-mconnlimit--connlimit-above15--connlimit-mask24
#######################################################################
sysctl-wnet.ipv4.ip_forward=1&>/dev/null
#翻开转发
#######################################################################
sysctl-wnet.ipv4.tcp_syncookies=1&>/dev/null
#翻开syncookie(轻量级防备DOS打击)
sysctl-wnet.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800&>/dev/null
#设置默许TCP毗连聪慧时长为3800秒(此选项能够年夜年夜下降毗连数)
sysctl-wnet.ipv4.ip_conntrack_max=300000&>/dev/null
#设置撑持最年夜毗连树为30W(这个依据你的内存和iptables版原本,每一个connection必要300多个字节)
#######################################################################
iptables-IINPUT-s192.168.0.50-jACCEPT
iptables-IFORWARD-s192.168.0.50-jACCEPT
#192.168.0.50是我的机子,全体放行!
############################完#########################################
欢迎大家来到仓酷云论坛!
若天明 该用户已被删除
沙发
发表于 2015-1-15 22:37:40 | 只看该作者

来一发一个典范有用的iptables shell剧本

其次,Linux简单易学,因为我们初学者只是学的基础部分,Linux的结构体系非常清晰,再加上老师循序渐进的教学以及耐心的讲解,使我们理解起来很快,短期内就基本掌握了操作和运行模式。
小魔女 该用户已被删除
板凳
发表于 2015-1-20 19:58:13 | 只看该作者
工具书对于学习者而言是相当重要的。一本错误观念的工具书却会让新手整个误入歧途。目前国内关于Linux的书籍有很多不过精品的不多。
愤怒的大鸟 该用户已被删除
地板
发表于 2015-1-29 19:47:44 | 只看该作者
查阅经典工具书和Howto,特别是Howto是全球数以万计的Linux、Unix的经验总结非常有参考价值通常40%的问题同样可以解决。
再现理想 该用户已被删除
5#
发表于 2015-2-6 06:04:21 | 只看该作者
上课传授的不仅仅是知识,更重要的是一些道理,包括一些做人的道理,讲课时也抓住重点,循序渐进,让同学理解很快;更可贵的是不以你过去的成绩看问题.
飘灵儿 该用户已被删除
6#
发表于 2015-2-15 18:49:44 | 只看该作者
虽然大家都比较喜欢漂亮的mm,但是在学 linux 的过程中,还是要多和“男人”接触一下:P 遇到问题的时候,出来看说和上网查之外,就是要多用 linux 下的 man 命令找找帮助。
莫相离 该用户已被删除
7#
发表于 2015-3-4 18:35:00 | 只看该作者
可以说自己收获很大,基本上完成了老师布置的任务,对于拔高的题目没有去做,因为我了解我的水平,没有时间和精力去做。?
不帅 该用户已被删除
8#
发表于 2015-3-19 15:40:36 | 只看该作者
我是学习嵌入式方向的,这学期就选修了这门专业任选课。
灵魂腐蚀 该用户已被删除
9#
 楼主| 发表于 2015-3-29 16:51:28 | 只看该作者
其实当你安装了一个完整的Linux系统后其中已经包含了一个强大的帮助,只是可能你还没有发现和使用它们的技巧。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 00:42

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表