本脚本修改自鸟哥的经典iptables防火墙脚本,做了简化适用于单机服务器环境
1、将防火墙规则文件放置在相应的目录内
(1)防火墙规则
iptables.rule 如下:
#!/bin/bash#########################################################################EXTIF=”em1″INIF=”em2″INNET=””export EXTIF INIF INNET##########################################################################echo “1” /proc/sys/net/ipv4/tcp_syncookiesecho “1” /proc/sys/net/ipv4/icmp_echo_ignore_broadcastsfor i in /proc/sys/net/ipv4/conf/*/{rp_filter,log_martians};doecho “1” > $idonefor i in /proc/sys/net/ipv4/conf/*/{accept_source_route,accept_redirects,\send_redirects};doecho “0” > $idone###########################################################################PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/bin; export PATHiptables -Fiptables -Xiptables -Ziptables -P INPUT DROPiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT############################################################################if [ -f /usr/local/virus/iptables/iptables.deny ]; thensh /usr/local/virus/iptables/iptables.denyfiif [ -f /usr/local/virus/iptables/iptables.allow ]; thensh /usr/local/virus/iptables/iptables.allowfiif [ -f /usr/local/virus/iptables/iptables.http ]; thensh /usr/local/virus/iptables/iptables.httpfi#############################################################################AICMP=”0 3 3/4 4 11 12 14 16 18″for tyicmp in $AICMPdo iptables -A INPUT -i $EXTIF -p icmp –icmp-type $tyicmp -j ACCEPTdoneiptables -A INPUT -s 172.16.0.1 -p icmp –icmp-type 8 -j ACCEPT #Cacti Request##############################################################################iptables -A INPUT -p TCP -i $EXTIF –dport 21 –sport 1024:65534 -j ACCEPT #FTPiptables -A INPUT -p TCP -i $EXTIF –dport 1230:1234 –sport 1024:65534 -j ACCEPT #Game_Serveriptables -A INPUT -p TCP -i $EXTIF –dport 22 –sport 1024:65534 -j ACCEPT #SSH#iptables -A INPUT -p TCP -i $EXTIF –dport 25 –sport 1024:65534 -j ACCEPT #SMTP#iptables -A INPUT -p UDP -i $EXTIF –dport 53 –sport 1024:65534 -j ACCEPT #DNS#iptables -A INPUT -p TCP -i $EXTIF –dport 53 –sport 1024:65534 -j ACCEPT #DNSiptables -A INPUT -p TCP -i $EXTIF –dport 80 –sport 1024:65534 -j ACCEPT #WWWiptables -A INPUT -p TCP -i $EXTIF –dport 3306 –sport 1024:65534 -j ACCEPT #MySQLiptables -A INPUT -p UDP -i $EXTIF –dport 161 –sport 1024:65534 -j ACCEPT #SNMP#iptables -A INPUT -p TCP -i $EXTIF –dport 110 –sport 1024:65534 -j ACCEPT #POP3#iptables -A INPUT -p TCP -i $EXTIF –dport 443 –sport 1024:65534 -j ACCEPT #HTTPS##############################################################################/etc/init.d/iptables save
iptables.allow 如下:
#! /bin/bashiptables -A INPUT -i $EXTIF -s 172.16.0.1 -p tcp –dport 22 -j ACCEPT
iptables.deny 如下:
#! /bin/bashiptables -A INPUT -i $EXTIF -s 172.16.0.2 -j DROP
(2)放置目录:
# mkdir -p /usr/local/virus/iptables
# cp /tools/iptables.* /usr/local/virus/iptables/
2、授予权限
# cd /usr/local/virus/iptables/
# chmod 700 iptables.*
3、加入开启自启动
# vim /etc/rc.d/rc.local
#YX Firewall/usr/local/virus/iptables/iptables.rule
本文出自 “不死鸟一辉” 博客,请务必保留此出处
,那么,不如我们礼貌地保持相对距离,不至于太冷,不至于太痛。
