平淡人生

静待花开,花开常有香相伴;倾听流水,流水总有乐相陪;有缘清风携舟涉碧水,无缘细雨伴君独自行。

iptables防火墙配置脚本

本人日常使用的防火墙规则,为了方便部署,特意写成了一个脚本。有需要的朋友可以复制下面的内容保存成如 iptable_install.sh 文件然后再执行。
代码:

#!/bin/bash
# Check if user is root
if [ $(id -u) != "0" ]; then
echo "Error: You must be root to run this script, use sudo sh $0"
exit 1
fi
echo "过虑蠕虫病毒"
/sbin/iptables -A FORWARD -p tcp --dport 4444 -j DROP
/sbin/iptables -A FORWARD -p udp --dport 4444 -j DROP
/sbin/iptables -A FORWARD -p tcp --dport 445 -j DROP
/sbin/iptables -A FORWARD -p udp --dport 445 -j DROP
/sbin/iptables -A FORWARD -p tcp --dport 69 -j DROP
/sbin/iptables -A FORWARD -p udp --dport 69 -j DROP
/sbin/iptables -A FORWARD -p tcp --dport 135 -j DROP
/sbin/iptables -A FORWARD -p udp --dport 135 -j DROP
/sbin/iptables -A FORWARD -p tcp --dport 139 -j DROP
/sbin/iptables -A FORWARD -p udp --dport 139 -j DROP
echo "远程SSH,WEB,FTP"
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i lo -p all -j ACCEPT
/sbin/iptables -A INPUT -i lo -p all -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -p all -j ACCEPT
#关闭木马程序BO2000的默认服务端口
#禁止31337端口发送TCP包
/sbin/iptables -A OUTPUT -p tcp --sport 31337 -j DROP
#禁止朝其他机器的31337发送包
/sbin/iptables -A OUTPUT -p tcp --dport 31337 -j DROP
/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/sbin/iptables -A OUTPUT -m state --state INVALID -j DROP
/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#不转发不正常的包
/sbin/iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP
#连续接受10个PING包以后,限制每秒只接受1个PING包
/sbin/iptables -A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
#连续转发10个PING包以后,限制每秒只转发1个PING包
/sbin/iptables -A FORWARD -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
/etc/rc.d/init.d/iptables save
/etc/init.d/iptables restart
有需要脚本的请点下面链接下载

我的sh脚本


Categorised as: 防火墙资料