#过虑蠕虫病毒
#444/445/69/135/139
###——###
iptables -A FORWARD -p tcp ——dport 4444 -j DROP
iptables -A FORWARD -p udp ——dport 4444 -j DROP
iptables -A FORWARD -p tcp ——dport 445 -j DROP
iptables -A FORWARD -p udp ——dport 445 -j DROP
iptables -A FORWARD -p tcp ——dport 69 -j DROP
iptables -A FORWARD -p udp ——dport 69 -j DROP
iptables -A FORWARD -p tcp ——dport 135 -j DROP
iptables -A FORWARD -p udp ——dport 135 -j DROP
iptables -A FORWARD -p tcp ——dport 139 -j DROP
iptables -A FORWARD -p udp ——dport 139 -j DROP
#允许ping localhost,ping 192.168.0.1/2
#allow loopback access
iptables -A INPUT -p icmp -i lo -j ACCEPT
iptables -A OUTPUT -p icmp -o lo -j ACCEPT
#打开内对内连接
#iptables -A INPUT -i lo -j ACCEPT
#允许代理和内网客户机相互传输数据(包括ping)
#allow ping LAN
iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT
iptables -A OUTPUT -p ALL -o $INT_IF -d $LAN_IP_RANGE -j ACCEPT
#允许外网的网卡与内网相互通讯.接受数据只接受响应封包,否则不予放行.发送数据没有限制.
iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT
iptables -A INPUT -p ALL -i $INT_IF -s $LAN_IP_RANGE -j ACCEPT
#拒绝外部使用内网进行欺骗
#deny local cheat
iptables -A INPUT -i $EXT_IF -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i $EXT_IF -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i $EXT_IF -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i $EXT_IF -s 127.0.0.0/8 -j DROP
#从LAN进入防火墙主机的dhcp封包,不于放行,只有防火墙担任DHCP时才放行
#deny DHCP_packets from LAN
iptables -A INPUT -p udp -i $INT_IF ——dport 67 ——sport 68 -j DROP
###——###
#配置向外方向的TCP规则,其中,——state ESTABLISHED ,NEW参数指定要检查哪个状态.
#ESTABLISHED标志匹配属于已有的TCP连接的封包.
#NEW标志指定试图创建一条新的TCP连接的第一个封包,这条规则指明属于新建的和已建立的
#TCP连接的封包将会通过eth0端口向外发送.
###——###
iptables -A OUTPUT -o $EXT_IF -p tcp -m state ——state ESTABLISHED,NEW -j ACCEPT
###——###
#配置封包从一个端口转发到另一个端口
###——###
iptables -A FORWARD -i $INT_IF -j ACCEPT
静态页面:http://www.qqread.com/linux/2007/09/y332078.html
更多内容请看防火墙软件应用、系统优化大全、Linux服务器的安全性能专题,或进入讨论组讨论。
相关专题
- 防火墙软件应用 (1869篇文章)
- 系统优化大全 (18186篇文章)
- Linux服务器的安全性能 (20541篇文章)
- 揭秘Linux内存管理 (8152篇文章)
- 解析Linux文件系统 (8354篇文章)
- Linux服务器 (13059篇文章)
- Linux系统实用教程 (8088篇文章)
- Linux安全应用宝典 (8088篇文章)
- Linux基础知识 (8446篇文章)
- Linux数据库宝典 (13195篇文章)
- 安装qmail全套功略 (18次浏览)
- TurboLinux 入门教程:第七课 TurboLinux简介 (18次浏览)
- Linux系统管理员秘技:用快捷命令一招制胜 (18次浏览)
- Linux系统命令分类详解 (1) (18次浏览)
- Linux下使用aMsn详解 (18次浏览)
- 你会在Linux下用POP3收Web电子邮箱吗? (18次浏览)
- 在Linux中用三款工具轻松制作网页 (18次浏览)
- Linux上的偷窺裝置 (1394的使用) (18次浏览)
- 深入浅出分析Linux内核漏洞的问题 (18次浏览)
- Linux内核调试工具:Kdb应用指南(4) (18次浏览)
