October 25,2006
通常要建出三個script來進行,我簡化為一個,說實在的,iptalbe 使用上就是指令模式,所以最好先man一下iptable的參數,以下是我的script
通常要建出三個script來進行,我簡化為一個,說實在的,iptalbe 使用上就是指令模式,所以最好先man一下iptable的參數,以下是我的script
#!/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
export PATH EXTIF INIF INNET
modprobe ip_tables > /dev/null 2>&1
modprobe iptable_nat > /dev/null 2>&1
modprobe ip_nat_ftp > /dev/null 2>&1
modprobe ip_nat_irc > /dev/null 2>&1
modprobe ip_conntrack > /dev/null 2>&1
modprobe ip_conntrack_ftp > /dev/null 2>&1
modprobe ip_conntrack_irc > /dev/null 2>&1
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -Z -t nat
/sbin/iptables -P INPUT DENY
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
##***以上為移掉原本的iptables,把INPUT設為deny在一個一個開,如果要控管Output及##Forward把Accept改為Deny,在一一開啟所而即可**************
/sbin/iptables -A INPUT -i eth0 -p tcp -m mac --mac-source BB:CC:ST:DD:EE:AA --dport 22 -j ACCEPT
##***打開擁有某網個的22PORT(SSH),實體位址我隨便取的,自已填吧!!
/sbin/iptables -A INPUT -i eth0 -p tcp -m mac --mac-source AA:0C:ED:4X:D1:E3 --dport 873 -j ACCEPT
## rsync server的port
/sbin/iptables -A INPUT -i lo -j ACCEPT
##本機的,一定要
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
##這行是讓已開啟連線不會斷線,可以重登看看,當確定沒問題,這行就可以拿掉
/sbin/iptables -A INPUT -s 140.116.44.0/24 -j ACCEPT
##開某個網段的機器
可在搭配TCP_Wrapped使用
/etc/hosts.allow
in.telnetd: 192.168.1.0/255.255.255.0 : Allow
/etc/hosts.deny
......
#!/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
export PATH EXTIF INIF INNET
modprobe ip_tables > /dev/null 2>&1
modprobe iptable_nat > /dev/null 2>&1
modprobe ip_nat_ftp > /dev/null 2>&1
modprobe ip_nat_irc > /dev/null 2>&1
modprobe ip_conntrack > /dev/null 2>&1
modprobe ip_conntrack_ftp > /dev/null 2>&1
modprobe ip_conntrack_irc > /dev/null 2>&1
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -Z -t nat
/sbin/iptables -P INPUT DENY
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
##***以上為移掉原本的iptables,把INPUT設為deny在一個一個開,如果要控管Output及##Forward把Accept改為Deny,在一一開啟所而即可**************
/sbin/iptables -A INPUT -i eth0 -p tcp -m mac --mac-source BB:CC:ST:DD:EE:AA --dport 22 -j ACCEPT
##***打開擁有某網個的22PORT(SSH),實體位址我隨便取的,自已填吧!!
/sbin/iptables -A INPUT -i eth0 -p tcp -m mac --mac-source AA:0C:ED:4X:D1:E3 --dport 873 -j ACCEPT
## rsync server的port
/sbin/iptables -A INPUT -i lo -j ACCEPT
##本機的,一定要
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
##這行是讓已開啟連線不會斷線,可以重登看看,當確定沒問題,這行就可以拿掉
/sbin/iptables -A INPUT -s 140.116.44.0/24 -j ACCEPT
##開某個網段的機器
可在搭配TCP_Wrapped使用
/etc/hosts.allow
in.telnetd: 192.168.1.0/255.255.255.0 : Allow
/etc/hosts.deny
......
引用URL
http://cgi.blog.roodo.com/trackback/2364247
回應文章 
[URL=http://www.lipitri.cn/samsung-com] samsung com [/URL] samsung com [URL=http://www.lipitri.cn/comune-ragusa] comune ragusa [/URL] comune ragusa [URL=http://www.lipitri.cn/videos-zlatan-ibrahimovic] videos zlatan ibrahimovic [/URL] videos zlatan ibrahimovic
Posted by Mike
at May 14,2008 23:24
![[Syndicate this site]](http://cdn.rimg.tw/images/blog/rss.gif "Syndicate RSS feed"){kind=small}
![[Syndicate this site]](http://cdn.rimg.tw/images/blog/atom.gif "Syndicate ATOM feed"){kind=small}
