#允许目的端口为125的连接
iptables -t filter -A INPUT -p tcp --dport 125 -j ACCEPT
#允许本地的回环
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -o lo -j ACCEPT
#防止ip欺骗,因为出入eth1的包的ip应该是公网ip
iptables -A INPUT -d 192.168.25.0/24 -i eth1 -j DROP
iptables -A INPUT -s 192.168.20.0/24 -i eth1 -j DROP
iptables -A OUTPUT -d 192.168.20.0/24 -o eth1 -j DROP
iptables -A OUTPUT -s 192.168.20.0/24 -o eth1 -j DROP
#屏蔽端口 5000
iptables -A INPUT -p tcp -m tcp --sport 5000 -j DROP
iptables -A INPUT -p udp -m udp --sport 5000 -j DROP
iptables -A OUTPUT -p tcp -m tcp --dport 5000 =j DROP
iptables -A OUTPUT -p udp -m udp --dport 5000 =j DROP
#禁止 Internet网的用户访问 mysql 服务器 (就是 3306 端口)
iptables -A INPUT -i eth1 -p tcp -m tcp --dport 3306 -j DROP
iptables -A INPUT -s 192.168.20.0/24 -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT
iptables -A INPUT -s 116.255.172.110/24 -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 3306 -j DROP
#防止syn-flood攻击
iptables -N syn-flood
iptables -A INPUT - i ppp0 -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
#允许http的规则
iptables -A INPUT -i ppp0 -p tcp -s 0/0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -s 0/0 --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables -A INPUT -i PPP0 -P tcp -d 0/0 --dport 442 -j ACCEPT
#允许DNS 的规则
iptables -A INPUT -i ppp0 -p udp -s0/0 --sport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -s0/0 --sport 53 -j ACCEPT
#允许IP1和ip2 远程ssh连接
iptables -A INPUT -p tcp -s ip1/32 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s ip2/32 --dport 22 -j ACCEPT
#允许外网的vpn连接
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
#不允许无知不明的数据包
iptables -A INPUT -i eth0 -m state --state INVALID -j DROP
#禁止周一到周六的8:00-20:30禁止内网上QQ网页
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 8:00 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#是自己用的机器统一放行
iptables -I INPUT -s 192.168.55.250 -j ACCEPT
iptables -I FORWARD -s 192.168.55.250 -j ACCEPT
#禁止BT连接
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#状态是ESTABLISHED,RELATED的直接允许通过。
iptables -A INPUT -i ppp0 -p tcp -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#其他情况不允许
iptables -A INPUT -i eth0 -j DROP
iptables -t filter -A INPUT -p tcp --dport 125 -j ACCEPT
#允许本地的回环
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -o lo -j ACCEPT
#防止ip欺骗,因为出入eth1的包的ip应该是公网ip
iptables -A INPUT -d 192.168.25.0/24 -i eth1 -j DROP
iptables -A INPUT -s 192.168.20.0/24 -i eth1 -j DROP
iptables -A OUTPUT -d 192.168.20.0/24 -o eth1 -j DROP
iptables -A OUTPUT -s 192.168.20.0/24 -o eth1 -j DROP
#屏蔽端口 5000
iptables -A INPUT -p tcp -m tcp --sport 5000 -j DROP
iptables -A INPUT -p udp -m udp --sport 5000 -j DROP
iptables -A OUTPUT -p tcp -m tcp --dport 5000 =j DROP
iptables -A OUTPUT -p udp -m udp --dport 5000 =j DROP
#禁止 Internet网的用户访问 mysql 服务器 (就是 3306 端口)
iptables -A INPUT -i eth1 -p tcp -m tcp --dport 3306 -j DROP
iptables -A INPUT -s 192.168.20.0/24 -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT
iptables -A INPUT -s 116.255.172.110/24 -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 3306 -j DROP
#防止syn-flood攻击
iptables -N syn-flood
iptables -A INPUT - i ppp0 -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
#允许http的规则
iptables -A INPUT -i ppp0 -p tcp -s 0/0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -s 0/0 --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables -A INPUT -i PPP0 -P tcp -d 0/0 --dport 442 -j ACCEPT
#允许DNS 的规则
iptables -A INPUT -i ppp0 -p udp -s0/0 --sport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -s0/0 --sport 53 -j ACCEPT
#允许IP1和ip2 远程ssh连接
iptables -A INPUT -p tcp -s ip1/32 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s ip2/32 --dport 22 -j ACCEPT
#允许外网的vpn连接
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
#不允许无知不明的数据包
iptables -A INPUT -i eth0 -m state --state INVALID -j DROP
#禁止周一到周六的8:00-20:30禁止内网上QQ网页
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -m time --timestart 8:00 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#是自己用的机器统一放行
iptables -I INPUT -s 192.168.55.250 -j ACCEPT
iptables -I FORWARD -s 192.168.55.250 -j ACCEPT
#禁止BT连接
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#状态是ESTABLISHED,RELATED的直接允许通过。
iptables -A INPUT -i ppp0 -p tcp -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#其他情况不允许
iptables -A INPUT -i eth0 -j DROP
版权所有:《太阳花工作室》 => 《一些 iptables 语句》
本文地址:http://bg.artuion.com/linux/2.html
除非注明,文章均为 《太阳花工作室》 原创,欢迎转载!转载请注明本文地址,谢谢。