[i=s] 本帖最后由 lijingen 于 2009-4-20 16:36 编辑 [/i]
[hide=190]测试过了,希望给点意见[code]
#=============================
#SOFT FIREWALL FOR IPTABLES SCRIPTS
#=============================
###################################
#---wan->-eht0------eth1-->--lan--1720.0.0/25
###################################
#! /bin/sh
#=============================
#打开转发
#=============================
echo '1' >/proc/sys/net/ipv4/ip_forward
echo '1' >/proc/sys/net/ipv4/ip_dynaddr
echo '1' >/proc/sys/net/ipv4/tcp_ecn
echo '1' >/proc/sys/net/ipv4/syncookies
echo '1' >/proc/sys/net/ipv4/icmp_echo_ignore_brodcasts
#========================
#清除规则
#========================
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z
#=========================
#默认策略
#=========================
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#=========================
#允许ssh
#=========================
#iptables -A INPUT -p tcp -s 192.168.204.1 --dport 22 -j ACCEPT
#iptables -A OUTPUT -p tcp -d 192.168.204.60 --sport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sprot 22 -j ACCEPT
#================================================================
#允许本地连接
#========================================
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#========================================
#允许soft firewall ping
#==================================================================
#iptables -A INPUT -i eth0 -p icmp --icmp-type echo-reply -j ACCEPT
#iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
#====================================================================
#允许外网某台机器可以ping,这里的外网机器为192的网段eth0
#====================================================================
iptables -A INPUT -s 192.168.204.1 -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -d 192.168.204.1 -p icmp --icmp-type 0 -j ACCEPT
#====================================================================
#允许内网机器ping,这是内网eth1
#====================================================================
iptables -A INPUT -s 172.0.0.2 -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -d 172.0.0.2 -p icmp --icmp-type 0 -j ACCEPT
#====================================================================
#禁止 135 137 138 139 445的端口请求
#处理IP碎片数量,防止攻击,允许每秒100个
#转发链的监控.开启转发功能
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j DROP
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#------------------------
#dns
#------------------------
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
#===================================================
#端口映射,eth0外网接口,eth1内网接口
#====================================================
#web服务
#--------------------------------------------
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.204.60 --dport 80 -j DNAT --to-destination 172.0.0.2:80
iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 172.0.0.2 -sport 80 -j SNAT --to-source 192.168.204.60:80
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.204.60 --dport 25 -j DNAT --to-destination 172.0.0.3:25
iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 172.0.0.3 -sport 25 -j SNAT --to-source 192.168.204.60:25
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.204.60 --dport 110 -j DNAT --to-destination 172.0.0.3:110
iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 172.0.0.3 -sport 110 -j SNAT --to-source 192.168.204.60:110
iptables -A FORWARD -i eth0 -p tcp --dport 80 -d 172.0.0.2 -j ACCEPT
iptables -A FORWARD -i eth1 -s 172.0.0.2 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -s 172.0.0.3 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -s 172.0.0.3 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state NEW -j ACCEPT
iptables -A FORWARD -o eth1 -d 172.0.0.0/25 -p tcp -m multiport --dport 80,25,110 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
#iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
#iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
#iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
#=================================================================
#source nat,上网
#====================================================================
#上网为动态ip
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#上网为静态ip
iptables -t nat -A POSTROUTING -s 172.0.0.0/25 -p tcp -o eth0 -j SNAT --to 192.168.204.60
#上网为adsl
#iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.62.0/24 -j MASQUERADE
#------------------------------------------------------------
#iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" --algo bm -j DROP
#iptables -I FORWARD -p tcp -m multiport --dport 80,443 -m layer7 --l7proto qq -j DROP
#iptables -I FORWARD -p udp --dport 8000 -j DROP
#iptables -I FORWARD -p tcp -m layer7 --l7proto socks -j DROP
#iptables -I FORWARD -p tcp -m layer7 --l7proto httpagent -j DROP
#iptables -I FORWARD -p udp --dport 53 -m string --string "messenger" --algo bm -j DROP
#iptables -I FORWARD -p tcp -m multiport --dport 80,443 -m layer7 --l7proto msnmessenger -j DROP
#iptables -I FORWARD -p udp --dport 1863 -j DROP
#---------------------------------------------------------------------------
#iptables -t mangle -I FORWARD -m mac --mac-sources XX:XX:XX:XX:XX:XX -j CONNMARK --set-mark 1
#iptables -I FORWARD -m connmark --mark 1 -j ACCEPT
#原理:
#1、在 mangle 表里把该 MAC 地址产生的所有连接做个标记
#2、在 filter 表里把符合连接标记的所有数据包提前放走,不受后面策略限制
#
#不知道能否成功,原因:不知道 mangle 表的 FORWARD 读取 mac 地址时是否正确
#上qq
#iptables -t mangle -I PREROUTING -m mac --mac-source 00:0C:E7:B0:B9:E2 -j CONNMARK --set-mark 1
# iptables -I FORWARD -m connmark --mark 1 -j ACCEPT
#或者iptables -t mangle -I FORWARD -m mac --mac-source 00:1A:73:8E:09:C6 -j CONNMARK --set-mark 1
#iptables -t mangle -I PREROUTING -m mac --mac-source 00:0C:76:B0:29:82 -j CONNMARK --set-mark 1
#iptables -I FORWARD -m connmark --mark 1 -j ACCEPT
#=======================================================================================================
[/code][/hide]
lihaishen001 于 2011-05-13 10:08:56发表:
看不到,加油中。
龙图腾2010 于 2011-04-23 15:39:18发表:
再发一个贴就够啊
龙图腾2010 于 2011-04-23 15:38:56发表:
看来我的级别不够啊
lting 于 2011-03-31 11:35:25发表:
忽忽,看不了
like7419 于 2011-03-29 10:13:00发表:
本帖隐藏的内容需要积分高于 190 才可浏览?????????
htjy08 于 2011-03-28 10:08:26发表:
积分不够
htjy08 于 2011-03-28 10:07:48发表:
看看什么样的
lyc256 于 2010-07-20 11:41:38发表:
看不到,加油中。
古木寒 于 2010-07-15 16:50:33发表:
难不成我积分低于190?
xiaolancong 于 2010-07-15 16:37:57发表:
我要成为高手,做任务先
白衬衫 于 2010-07-09 17:36:03发表:
顶。
sxyzxh521 于 2010-07-09 15:44:58发表:
积分太低了,看不了..
Arixtony 于 2010-07-02 12:20:05发表:
看看了???
stuskr 于 2010-06-01 20:11:35发表:
还有对分数限制的帖子啊,分不太够,留个言,回头分够了,来取。呵呵
373061200 于 2010-05-29 16:55:58发表:
真假的,想看看不了
373061200 于 2010-05-29 16:55:57发表:
真假的,想看看不了
panda6401 于 2010-05-29 10:51:22发表:
顶个
blue7590 于 2010-05-10 11:09:23发表:
看看~~~
dlgenius 于 2010-04-12 22:44:51发表:
安装Apache服务器及相关组件。这里使用yum命令来在线安装。
0. 使用 yum 程序安装所需开发包(以下为标准的rpm包名称)
[root@www ~]# yum install gcc gcc-c++ gcc-g77 flex bison autoconf automake bzip2-devel zlib-devel ncurses-devel libjpeg-devel libpng-devel libtiff-devel freetype-devel pam-devel openssl-devel libxml2-devel gettext-devel pcre-devel
这里我们将编译GD所必须的一些小软件比如libpng,libtiff,freetype,libjpeg,gettext-devel等先用RPM 的方式一并安装好,避免手动编译浪费时间,同时也能避免很多错误,这几个小软件的编译很麻烦。这几个小软件编译错误了,GD当然安装不了,php5的编译 当然也没戏了。所以我们抓大放小,对这些小牛鬼蛇神采取快速简洁的方式进行安装。并且对服务器的性能也不能产生什么影响。
另外libxml2系统已经默认安装了,所以我们不需要手工编译了,直接安装它的开发包就行了。
[root@www ~]#yum install gd
1,[root@www ~]# yum -y mysql
2,[root@www ~]# yum -y install php-mysql ← 安装php-mysql
3,[root@www ~]# yum -y install httpd ← 在线安装httpd
4,[root@www zhaoyong]# tar zxvf phpMyAdmin-2.11.5.1-all-languages.tar.gz 安装phpmyadmin让管理更简单
[root@www zhaoyong]# mv phpMyAdmin-2.11.5.1-all-languages /var/www/phpmyadmin ← 移动到相应目录下
5,[root@www ~]# yum -y install php ← 在线安装PHP
6,[root@www zhaoyong]# yum -y install php-mbstring
安装php-mbstring,让phpmyadmin能够正确识别字符串。
7,配置phpmyadmin
[root@www ~]# cp /var/www/phpmyadmin/config.sample.inc.php /var/www/phpmyadmin/config.sample.inc.php.bak 备份配置文件
[root@www ~]# chown -R root.apache /var/www/phpmyadmin/ 改变phpmyadmin的归属
然后建立phpMyAdmin与Apache的联系。
[root@www ~]#vi /etc/httpd/conf.d/phpmyadmin.conf ← 建立供Apache调用的phpMyAdmin配置文件如下:
Alias /phpmyadmin /var/www/phpmyadmin
[root@www phpmyadmin]# service httpd restart 从新启动httpd服务器以更新配置
8,测试phpmyadmin 在浏览器里输入http://服务器地址/phpmyadmin
这样管理mysql就很简单了嘿嘿
9,安装zend optimizer引擎
[root@www ~]#tar zxvf Zend Optimizer v3.2.6.tar.gz
[root@www ~]# cd Zend Optimizer v3.2.6
[root@www ~]# ./install.sh
注意安装的时候
选择Yes同意使用协议
设置安装目录,这里以默认的/usr/local/Zend为例,然后选择OK进入下一步。
设置PHP配置文件所在的位置,一般为/etc(默认),如果PHP的配置文件在别处的话,请根据实际情况设置。
被询问是否使用Apache服务器,这里选择Yes。
设置Apache的路径,这里保持默认,选择OK进入下一步。
10.安装webmin以方便服务器之间的管理
[root@www zhaoyong]# rpm -ivh webmin-1.410-1.noarch.rpm
安装完毕后在浏览器上用http://服务器地址:10000
进行测试 想要支持中文的在configure里面选择
完工
niexintype 于 2010-03-21 08:34:43发表:
能不能不要那么高的积分啊
bingwzi 于 2010-03-21 01:21:58发表:
{:2_92:}
Marketiva 于 2010-03-18 18:31:15发表:
看看先~!!!!
pipilu 于 2010-03-18 14:56:44发表:
看不到啊
64805176 于 2010-03-17 22:56:55发表:
我怎么还不能看呢
zzy870720z 于 2010-03-14 11:33:44发表:
了解一下,学习
qiwenqiu 于 2010-03-10 13:49:06发表:
{:2_91:}积分
lzping520 于 2010-03-02 12:10:07发表:
晕,看不到。。。
默念那份爱 于 2010-03-01 13:42:04发表:
:0w5ty(1
huyihui103 于 2010-02-27 08:44:22发表:
辛苦了!!!!!!!顶!!!!!!!!
默念那份爱 于 2010-02-26 13:31:24发表:
{:3_109:}
shineliuchao 于 2010-02-23 23:02:08发表:
看看啊
wp511888 于 2010-02-18 16:47:51发表:
看看学习下
blesssaint 于 2010-02-09 09:38:53发表:
啥 积分高于190才能看 楼主你这是何必呢
blesssaint 于 2010-02-09 09:38:05发表:
顶楼主
lklangzi 于 2010-02-05 15:32:12发表:
190?看来我还看不了
binger_jnn 于 2010-01-25 10:29:26发表:
我积分不够,怎么弄啊 !!!!
lansir 于 2010-01-24 21:14:21发表:
下载学习
rootstone 于 2010-01-21 21:44:23发表:
看不到啊 加油中。。。。
aust_zhang 于 2010-01-21 17:30:43发表:
sfsafa
aust_zhang 于 2010-01-21 17:30:41发表:
sfsafa