本人日常使用的防火墙规则,为了方便部署,特意写成了一个脚本。有需要的朋友可以复制下面的内容保存成如 iptable_install.sh 文件然后再执行。
代码:
#!/bin/bash # Check if user is root if [ $(id -u) != "0" ]; then echo "Error: You must be root to run this script, use sudo sh $0" exit 1 fi echo "过虑蠕虫病毒" /sbin/iptables -A FORWARD -p tcp --dport 4444 -j DROP /sbin/iptables -A FORWARD -p udp --dport 4444 -j DROP /sbin/iptables -A FORWARD -p tcp --dport 445 -j DROP /sbin/iptables -A FORWARD -p udp --dport 445 -j DROP /sbin/iptables -A FORWARD -p tcp --dport 69 -j DROP /sbin/iptables -A FORWARD -p udp --dport 69 -j DROP /sbin/iptables -A FORWARD -p tcp --dport 135 -j DROP /sbin/iptables -A FORWARD -p udp --dport 135 -j DROP /sbin/iptables -A FORWARD -p tcp --dport 139 -j DROP /sbin/iptables -A FORWARD -p udp --dport 139 -j DROP echo "远程SSH,WEB,FTP" /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -j ACCEPT /sbin/iptables -A INPUT -p icmp -j ACCEPT /sbin/iptables -A INPUT -i lo -p all -j ACCEPT /sbin/iptables -A INPUT -i lo -p all -j ACCEPT /sbin/iptables -A OUTPUT -o lo -p all -j ACCEPT #关闭木马程序BO2000的默认服务端口 #禁止31337端口发送TCP包 /sbin/iptables -A OUTPUT -p tcp --sport 31337 -j DROP #禁止朝其他机器的31337发送包 /sbin/iptables -A OUTPUT -p tcp --dport 31337 -j DROP /sbin/iptables -A INPUT -m state --state INVALID -j DROP /sbin/iptables -A OUTPUT -m state --state INVALID -j DROP /sbin/iptables -A FORWARD -m state --state INVALID -j DROP /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #不转发不正常的包 /sbin/iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP #连续接受10个PING包以后,限制每秒只接受1个PING包 /sbin/iptables -A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT #连续转发10个PING包以后,限制每秒只转发1个PING包 /sbin/iptables -A FORWARD -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT /etc/rc.d/init.d/iptables save /etc/init.d/iptables restart 有需要脚本的请点下面链接下载