[原创]iptables之初始化-凯发app官方网站

凯发app官方网站-凯发k8官网下载客户端中心 | | 凯发app官方网站-凯发k8官网下载客户端中心

embedded linux

凯发app官方网站首页 |  博文目录 |  关于我

shdnzwy

  • 博客访问: 139058
  • 博文数量: 41
  • 博客积分: 51
  • 博客等级: 民兵
  • 技术积分: 225
  • 用 户 组: 普通用户
  • 注册时间: 2007-08-31 22:53
文章分类

全部博文(41)

文章存档

2013年(15)

2012年(25)

2011年(1)

我的朋友
最近访客
推荐博文
[原创]iptables之初始化

分类:

2012-10-31 14:56:15

原文地址: 作者:gray1982

原创作品,允许转载,转载时请务必以超链接形式标明文章  、作者信息和本声明。否则将追究法律责任。

 自己总结的一套iptables初化脚本,自认为是比较好一些,可以根本实际情况更改

*filter

:logdrop_illegal_packet - [0:0]

-a  input -p tcp -m tcp --tcp-flags fin,syn,rst,psh,ack,urg fin,psh,urg -j logdrop_illegal_packet 

-a  input -p tcp -m tcp --tcp-flags fin,syn,rst,psh,ack,urg fin,syn,rst,psh,ack,urg -j logdrop_illegal_packet 

-a  input -p tcp -m tcp --tcp-flags fin,syn,rst,psh,ack,urg none -j logdrop_illegal_packet 

-a  input -p tcp -m tcp --tcp-flags syn,rst syn,rst -j logdrop_illegal_packet 

-a  input -p tcp -m tcp --tcp-flags fin,syn fin,syn -j logdrop_illegal_packet 

-a  input -p tcp -m tcp --tcp-flags fin,ack fin -j logdrop_illegal_packet 

-a  input -p tcp -m tcp --tcp-flags fin,syn,rst,psh,ack,urg fin,syn,rst,ack,urg -j logdrop_illegal_packet 

-a  logdrop_illegal_packet -m limit --limit 2/sec -j log --log-prefix "iptfw-bad-flag " --log-level 7

#-a input -s 192.168.0.0/255.255.0.0 -i eth0 -j logdrop_illegal_packet

-a input -s 172.16.0.0/255.240.0.0 -i eth0 -j logdrop_illegal_packet

-a input -s 169.254.0.0/255.255.0.0 -j logdrop_illegal_packet 

-a  logdrop_illegal_packet -j drop 

:forward accept [0:0]

:input drop [0:0]

-a input -m state --state related,established -j accept 

-a input -s 192.168.11.0/24 -j accept

-a input -p vrrp -j accept

-a input -s 210.14.144.220 -j accept

-a input -s 192.168.0.0/255.255.0.0 -j drop

-a input -s 239.2.11.71  -j drop

-a input -p udp -m state --state new -m udp --dport 53 -j accept

-a input -i lo -j accept 

-a input -p icmp -m icmp --icmp-type 8 -m limit --limit 5/sec -j accept 

-a input -p icmp -m icmp --icmp-type 0 -m limit --limit 5/sec -j accept 

-a input -p icmp -m icmp --icmp-type 11 -m limit --limit 5/sec -j accept 

-a input -p icmp -m icmp --icmp-type 3 -m limit --limit 5/sec -j accept 

-a input -p icmp -j drop 

#-a input -i eth0 -p tcp -m state --state new -m tcp --dport 8900 -j accept

-a input -i eth0 -j reject --reject-with icmp-host-prohibited 

:output drop [0:0]

 

-a output -d 192.168.11.0/24 -j accept

-a output -p vrrp -j accept 

-a output -d 210.14.144.220 -j accept

-a output -d 239.2.11.71  -j drop

-a output -m state --state related,established -j accept 

-a output -o lo -j accept  

-a output -p udp -m state --state new -m udp --dport 53 -j accept

-a output -p icmp -m icmp --icmp-type 8 -m limit --limit 5/sec -j accept 

-a output -p icmp -m icmp --icmp-type 0 -m limit --limit 5/sec -j accept 

-a output -p icmp -m icmp --icmp-type 11 -m limit --limit 5/sec -j accept 

-a output -p icmp -m icmp --icmp-type 3 -m limit --limit 5/sec -j accept 

-a output -p icmp -j drop

commit

 

本文出自 “” 博客,请务必保留此出处

阅读(871) | 评论(0) | 转发(0) |
0

上一篇:[原创]linux视频教程之vsftp_a

下一篇:[原创]iptables之recent

给主人留下些什么吧!~~
| | | | |

凯发app官方网站 copyright 2001-2010 chinaunix.net all rights reserved 北京皓辰网域网络信息技术有限公司. 凯发k8官网下载客户端中心的版权所有

感谢所有关心和支持过chinaunix的朋友们
")); function link(t){ var href= $(t).attr('href'); href ="?url=" encodeuricomponent(location.href); $(t).attr('href',href); //setcookie("returnouturl", location.href, 60, "/"); }
网站地图