[菜鸟分享]用Linux架设局域网网关/FTP/BBS/cron管理/CVS服务整体解决方案,献给和

mh169 · 发表于 2007-3-1 11:36:58

这是一个Linux的代理脚本

#!/bin/sh
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/iptables -F
/sbin/iptables -F -t nat
/sbin/iptables -X
/sbin/iptables -Z

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT

echo "1"> /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -p udp -d 192.168.0.1 --dport 53 -j DNAT --to 210.87.141.250:53
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT

#WEB
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0/0 --dport 80 -j DNAT --to 192.168.0.253:80

#ICMP

echo 0  > /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#IGMP

iptables -A INPUT -p ICMP -d 192.168.1.254 -m limit --limit 1/s --limit-burst 10 -j ACCEPT
iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

#NMAP FIN/URG/PSH

iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL FIN,URG,PSH -j drop

#Xmas Tree
iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL ALL -j drop

#Another Xmas Tree
iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j drop

#Null Scan(possibly)
iptables -A INPUT -i eth1 -p tcp --tcp-flags ALL NONE -j drop

#SYN/RST
iptables -A INPUT -i eth1 -p tcp --tcp-flags SYN,RST SYN,RST -j drop

#SYN/FIN -- Scan(possibly)
iptables -A INPUT -i eth1 -p tcp --tcp-flags SYN,FIN SYN,FIN -j drop

#synfoold

iptables -N synfoold
iptables -A synfoold -p tcp --syn -m limit --limit 1/s -j RETURN
iptables -A synfoold -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp -m state --state NEW -j synfoold

注释：192.168.0.1 内网网关
   210.87.141.250  外网DNS
      192.168.0.253 内网WEB服务器可以不用
   192.168.1.254 外网网卡IP
      eth0 为外网卡，eth1 为内网卡
   把脚本保存个文件，在启动脚本 /etc/rc.d/rc.local里把路径和名字添加到里面就可以了

我是在内网里再做了一个内网做实验的，所以看起来有点乱。不过可以用。

waxmax · 发表于 2007-3-1 14:02:53

OK呵呵，
是对iptables进行了一下配置
你的那个问题解决了吧

mh169 · 发表于 2007-3-1 14:41:28

现在没问题了可以用哈哈~谢谢你的帮助~

hackwei · 发表于 2007-10-12 15:41:17

樓主的風彩俺l喜歡```向樓主學習``

linuxkumao · 发表于 2007-10-17 09:25:10

好贴，顶一下

linuxkumao · 发表于 2007-10-17 10:37:38

看了真想再顶你一下

Yei · 发表于 2007-10-17 15:48:10

楼主写的很详细，谢谢你的分享
我也架了一个类似的，防火墙+MRTG+Jabber
准备有空再弄个FTP

linfans · 发表于 2007-10-17 19:17:42

LZ的二楼的贴子中开始的两个网卡名字一样了...

waxmax · 发表于 2007-10-30 11:46:27

Post by linfans
LZ的二楼的贴子中开始的两个网卡名字一样了...

呵呵，手误，已经改正了。:beat

wpm821 · 发表于 2007-11-3 12:40:35

顶一下,有也是用LINUX做网关,也是用IPTABLE 来作上网控制,一直有个问题没解决就是能上网但又想控制QQ,没做成.各位指点一下.

		自动登录	找回密码
密码			注册

[菜鸟分享]用Linux架设局域网 网关/FTP/BBS/cron管理/CVS服务 整体解决方案,献给和

我的脚本

[菜鸟分享]用Linux架设局域网网关/FTP/BBS/cron管理/CVS服务整体解决方案,献给和