郑州好的电脑学校:防火墙小脚本的总结
来源:郑州博文职业IT学院 时间:2016/1/19 9:21:39
郑州好的电脑学校:防火墙小脚本的总结
郑州好的电脑学校:防火墙小脚本的总结
经过在郑州博文电脑学校的一段时间学习之后,这天突然有兴趣想总结一下技术文档,觉得天天学习,把知识吸收了,是不是能够根据自己的
理解去很好的总结一下。其实课程中的知识点很多。就针对防火墙这块给大家分享一下。
#!/bin/bash
这个脚本只是一个小小的提示。以后我们在工作过程中可以及时总结好的脚本。我们可以将很多规则总结到一起。然后修改一些简单的参数
,比如说IP地址之类的就可以应用。 有兴趣的同学可以写一些特殊功能脚本模块。比如说限制QQ、BT等等。这样我们可以运用丰富灵活的使用
到工作中。
1、设置预定义变量
INET_IP="11.12.13.14"
INET_IFACE="eth0"
LAN_IP1="192.168.1.1"
LAN_IF1="eth1"
LAN_IP2="192.168.2.1"
LAN_IF2="eth2"
LAN1="192.168.1.0/24"
LAN2="192.168.2.0/24"
SSHC_INET="201.12.13.14"
SSHC_LAN_IP="192.168.1.5"
SSHC_LAN_MAC="00:0C:27:30:4E:5D"
SVR_DNS="192.168.2.2"
IPT="/sbin/iptables"
LOAD="/sbin/modprobe"
2、预先加载模块 (可选)
$LOAD xt_multiport xt_mac ipt_LOG
3、开启路由转发功能
/sbin/sysctl -w net.ipv4.ip_forward=1
4、定义iptables规则
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -t raw -F
$IPT -X
$IPT –P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
$IPT -A INPUT -p tcp -m multiport --dport 21.25.80.110.143 -j ACCEPT
$IPT -A INPUT -s $SSHC_INET -p tcp --dport 22 -m limit --limit 4/hour -j LOG --log-prefix "SSH Access:"
$IPT -A INPUT -s $SSHC_INET -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i eth1 -s $SSHC_LAN_IP -m mac --mac-source $SSHC_LAN_MAC -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -s $LAN1 -p tcp --dport 3128 -j ACCEPT
$IPT -A FORWARD -s $LAN1 -d $SVR_DNS -p udp --dport 53 -j ACCEPT
$IPT -A FORWARD -d $LAN1 -s $SVR_DNS -p udp --sport 53 -j ACCEPT
这个防火墙小脚本分了四个步骤,不会的可以根据这个步骤简单的做一下操作,理一下思路,以后遇到类似的情况,我们该如何做,这样就
会一个思路在里面的。