zoukankan      html  css  js  c++  java
  • iptables 防火墙策略

    iptables 防火墙 只允许某IP访问某端口、访问特定网站

    1.先备份iptables /var/tmp
    需要开80端口,指定IP和局域网
    下面三行的意思:
    先关闭所有的80端口
    开启ip段192.168.1.0/24端的80口
    开启ip段211.123.16.123/24端ip段的80口
    iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
    iptables
    # service iptables restart
    ===============以下是转载================================================
    以下是端口,先全部封再开某些的IP
    iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
    如果用了NAT转发记得配合以下才能生效
    iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT


    常用的iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
    iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
    iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
    iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
    iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
    iptables -A Filter -p udp --dport 53 -j ACCEPT
    iptables -A Filter -d www.3322.org -j ACCEPT
    iptables -A Filter -j DROP

    开放些端口,其它都封闭
    iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
    iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT
    iptables -A Filter -p udp --dport 53 -j ACCEPT
    iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT

    连续端口
    iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT

    指定时间上网
    iptables -A Filter -m time --timestart 12:00 --timestop 13:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT

    禁止多个端口服务
    iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1

    将WAN口8000端口NAT到192。168。100。200的80端口
    iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
    禁止
    iptables -A Filter -j DROP
    禁用BT配置
    iptables -A Filter -p udp --dport ! 53 -j DROP
    iptables -A Filter -d 218.18.95.0/24 -j DROP
    iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
    iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT
    禁用MSN配置
    iptables -A Filter -p tcp --dport 1863 -j DROP
    iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
    只允许PING 202。96。134。133 其它公网IP都不许PING
    iptables -A Filter -p icmp -j DROP
    iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
    某个IP地址的PING:
    禁止iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
    iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
    禁止iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
    禁止某个MAC地址的某个端口服务
    禁止某个MAC地址访问internet:
    禁止iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

    蓦然回首,那人却在,灯火阑珊处。
  • 相关阅读:
    Codeforces Gym 100571A A. Cursed Query 离线
    codeforces Gym 100500 J. Bye Bye Russia
    codeforces Gym 100500H H. ICPC Quest 水题
    codeforces Gym 100500H A. Potion of Immortality 简单DP
    Codeforces Gym 100500F Problem F. Door Lock 二分
    codeforces Gym 100500C D.Hall of Fame 排序
    spring data jpa 创建方法名进行简单查询
    Spring集成JPA提示Not an managed type
    hibernate配置文件中的catalog属性
    SonarLint插件的安装与使用
  • 原文地址:https://www.cnblogs.com/linux-186/p/14303170.html
Copyright © 2011-2022 走看看