高手进：防火墙配置问题

Jackosn.K · 发表于 2004-9-7 11:59:40

第一次写防火墙的脚本，见笑了~~ 望高手指点！
目前主机218.218.218.218对外提供ftp和web服务，这样的脚本不能进行主机的域名解析，比如我不能直接用域名访问www.linuxsir.cn，
另外还希望能够ping某一个域名，以便收集丢包率和时延，
望高手指点，谢谢  :thank
--------------------------------------------------------防火墙配置脚本：
#!/bin/bash

/sbin/iptables -F
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -A INPUT -f -i eth0 -j DROP
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
###打开保护IP欺骗并打开源地址验证
for a in /proc/sys/net/ipv4/conf/*/accept_redirects ; do
   echo 0 > $a
done
###关闭路由包###
for b in /proc/sys/net/ipv4/conf/*/accept_source_route ; do
  echo  0 > $b
done

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

/sbin/iptables  -A INPUT -i eth0          -s 219.186.210.64  -j DROP
/sbin/iptables  -A INPUT -i eth0          -s  24.87.230.51 -j DROP
/sbin/iptables  -A INPUT -i eth0          -s  61.183.239.152 -j DROP
/sbin/iptables  -A INPUT -i eth0          -s  216.185.59.37  -j DROP
/sbin/iptables  -A INPUT -i eth0          -s  220.113.127.25 -j DROP

/sbin/iptables  -A INPUT -i eth0 -p tcp       -s any/0 --sport 20       -d 218.218.218.218 --dport 1024:65535 -j ACCEPT
/sbin/iptables  -A INPUT -i eth0 -p tcp       -s any/0 --sport 1024:65535  -d 218.218.218.218 --dport 21       -j ACCEPT
/sbin/iptables  -A INPUT -i eth0 -p tcp       -s any/0 --sport 1024:65535  -d 218.218.218.218 --dport 80       -j ACCEPT
/sbin/iptables  -A INPUT -i eth0 -p tcp       -s any/0 --sport 1024:65535  -d 218.218.218.218 --dport 1024:65535 -j ACCEPT
/sbin/iptables  -A INPUT -i ech0 -p tcp       -s any/0 --sport 53       -d 218.218.218.218 --dport 1024:65535 -j ACCEPT
/sbin/iptables  -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 1024:65535  -d 218.218.218.218 --dport 20       -j ACCEPT
/sbin/iptables  -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 21       -d 218.218.218.218 --dport 1024:65535 -j ACCEPT
/sbin/iptables  -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 80       -d 218.218.218.218 --dport 1024:65535 -j ACCEPT
/sbin/iptables  -A INPUT -i eth0 -p tcp -s 28.28.18.28 --sport 1024:65535  -d 218.218.218.218 --dport 22       -j ACCEPT
/sbin/iptables  -A INPUT -i ech0 -p udp -s 0/0 --sport 53 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables  -A INPUT -i eth0 -p udp -d 0/0 --dport 53 -j ACCEPT

/sbin/iptables  -A OUTPUT -o eth0 -p tcp       -s 218.218.218.218 --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
/sbin/iptables  -A OUTPUT -o eth0 -p tcp       -s 218.218.218.218 --sport 20       -d any/0 --dport 1024:65535 -j ACCEPT
/sbin/iptables  -A OUTPUT -o eth0 -p tcp       -s 218.218.218.218 --sport 1024:65535 -d any/0 --dport  80       -j ACCEPT
/sbin/iptables  -A OUTPUT -o eth0 -p tcp       -s 218.218.218.218 --sport 1024:65535 -d any/0 --dport  21       -j ACCEPT
/sbin/iptables  -A OUTPUT -o eth0 -p tcp       -s 218.218.218.218 --sport 1024:65535 -d any/0 --dport  20       -j ACCEPT
/sbin/iptables  -A OUTPUT -o eth0 -p udp --sport 1024:65535 -d any/0 --dport  53       -j ACCEPT
/sbin/iptables  -A OUTPUT -o eth0 -p tcp       -s 218.218.218.218 --sport 1024:65535 -d any/0 --dport  53       -j ACCEPT
/sbin/iptables  -A OUTPUT -o eth0 -p tcp ! --syn -s 218.218.218.218 --sport 22 -d 28.28.18.28 --dport 1024:65535 -j ACCEPT
/sbin/iptables  -A OUTPUT -o eth0 -p tcp ! --syn -s 218.218.218.218 --sport 21       -d any/0 --dport 1024:65535 -j ACCEPT
/sbin/iptables  -A OUTPUT -o eth0 -p tcp ! --syn -s 218.218.218.218 --sport 80       -d any/0 --dport 1024:65535 -j ACCEPT

tianfuming · 发表于 2004-12-15 12:51:25

写的够垃圾的

河边星星 · 发表于 2004-12-15 19:31:43

对tianfuming表示遗憾...

linuxsir不欢迎....

晨想 · 发表于 2004-12-15 20:40:03

tianfuming回答的更垃圾。。哈哈。。。。

to 楼主：
你看看精华区的文章，很多关于iptables的。
改一下，就好了，他们都有注释的。

我觉得你写的，差不多了，反正都是防火墙，够用就好。

		自动登录	找回密码
密码			注册