Saya menghabiskan beberapa waktu untuk memikirkan dua hal tentang iptables ini: kebanyakan dari mereka yang mencari tutorial ini adalah pemula dan kedua, banyak yang sudah mencari sesuatu yang cukup sederhana dan sudah dielaborasi.
Contoh ini untuk server web, tetapi Anda dapat dengan mudah menambahkan lebih banyak aturan dan menyesuaikannya dengan kebutuhan Anda.
Saat Anda melihat "x" berubah untuk ip Anda
#!/bin/bash
# Kita membersihkan tabel iptables -F iptables -X # Kita membersihkan NAT iptables -t nat -F iptables -t nat -X # tabel mangle untuk hal-hal seperti PPPoE, PPP, dan ATM iptables -t mangle -F iptables -t mangle -X # Kebijakan Saya pikir ini adalah cara terbaik untuk pemula dan # masih tidak buruk, saya akan menjelaskan keluaran (keluaran) semua karena mereka adalah koneksi keluar #, masukan kita membuang semuanya, dan tidak ada server yang harus meneruskan. iptables -P INPUT DROP iptables -P OUTPUT MENERIMA iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Pertahankan status. Segala sesuatu yang sudah terhubung (didirikan) dibiarkan seperti ini iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT # Loop device. iptables -A INPUT -i lo -j ACCEPT # http, https, kami tidak menentukan antarmuka karena # kami ingin semua iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp - dport 443 -j ACCEPT # ssh hanya secara internal dan dari kisaran ip iptables ini -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT # monitoring misalnya jika mereka memiliki zabbix atau beberapa layanan snmp lainnya iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 10050 -j ACCEPT # icmp, ping terserah Anda iptables -A INPUT -p icmp -s 192.168.xx / 24 - i $ intranet -j ACCEPT #mysql with postgres is port 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT #sendmail bueeeh jika Anda ingin mengirim email # iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # server IP - wan ip server Anda yang sebenarnya LAN_RANGE = "192.168.xx / 21 "# Rentang LAN jaringan Anda atau vlan # Ip Anda yang tidak boleh masuk ke ekstranet,adalah menggunakan sedikit # logika jika kita memiliki antarmuka WAN murni, ia tidak boleh memasukkan # lalu lintas jenis LAN melalui antarmuka itu SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0 .16 / XNUMX "# Tindakan default - untuk dijalankan ketika ada aturan yang cocok dengan ACTION =" DROP "# Paket dengan ip yang sama dari server saya melalui wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION # iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION # Paket dengan LAN Range untuk wan, saya taruh seperti ini jika Anda memiliki # jaringan tertentu, tetapi ini berlebihan dengan # aturan berikut di dalamnya loop "untuk" iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION ## Semua SPOOF Jaringan tidak diizinkan oleh wan untuk ip in $ SPOOF_IPS melakukan iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION selesai
Seperti biasa saya menunggu komentar Anda, pantau terus blog ini, Terima kasih