ഈ ലളിതമായ സ്ക്രിപ്റ്റ് ഉപയോഗിച്ച് iptables ഉപയോഗിച്ച് നിങ്ങളുടെ സ്വന്തം ഫയർവാൾ സൃഷ്ടിക്കുക

Iptables നെക്കുറിച്ച് ഞാൻ കുറച്ചുകാലമായി ചിന്തിക്കുകയായിരുന്നു: ഈ ട്യൂട്ടോറിയലുകൾ തിരയുന്നവരിൽ ഭൂരിഭാഗവും തുടക്കക്കാരാണ്, രണ്ടാമതായി, പലരും ഇതിനകം വളരെ ലളിതവും ഇതിനകം വിശദീകരിച്ചതുമായ എന്തെങ്കിലും തിരയുന്നു.

ഈ ഉദാഹരണം ഒരു വെബ് സെർവറിനുള്ളതാണ്, എന്നാൽ നിങ്ങൾക്ക് എളുപ്പത്തിൽ കൂടുതൽ നിയമങ്ങൾ ചേർക്കാനും അത് നിങ്ങളുടെ ആവശ്യങ്ങളുമായി പൊരുത്തപ്പെടുത്താനും കഴിയും.

നിങ്ങളുടെ ഐപികൾക്കായി "x" മാറ്റം കാണുമ്പോൾ


#!/bin/bash

# ഞങ്ങൾ iptables പട്ടികകൾ വൃത്തിയാക്കുന്നു -F iptables -X # PPPoE, PPP, ATM iptables -t mangle -F iptables -t mangle -X എന്നിവപോലുള്ള കാര്യങ്ങൾക്കായി ഞങ്ങൾ NAT iptables -t nat -F iptables -t nat -X # mangle table വൃത്തിയാക്കുന്നു. # നയങ്ങൾ ഇത് തുടക്കക്കാർക്കുള്ള ഏറ്റവും നല്ല മാർഗമാണെന്നും # ഇപ്പോഴും മോശമല്ലെന്നും ഞാൻ output ട്ട്‌പുട്ട് (output ട്ട്‌പുട്ട്) എല്ലാം വിശദീകരിക്കും കാരണം അവ out ട്ട്‌ഗോയിംഗ് കണക്ഷനുകളാണ് #, ഇൻപുട്ട് ഞങ്ങൾ എല്ലാം നിരസിക്കുന്നു, ഒരു സെർവറും മുന്നോട്ട് പോകരുത്. iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # അവസ്ഥ നിലനിർത്തുക. ഇതിനകം കണക്റ്റുചെയ്‌തിരിക്കുന്ന (സ്ഥാപിതമായ) എല്ലാം ഇപ്രകാരമാണ്: iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT # ലൂപ്പ് ഉപകരണം. iptables -A INPUT -i lo -j ACCEPT # http, https, ഞങ്ങൾ ഇന്റർഫേസ് വ്യക്തമാക്കുന്നില്ല, കാരണം # ഇത് എല്ലാ iptables- നും വേണ്ടിയാകണമെന്ന് ഞങ്ങൾ ആഗ്രഹിക്കുന്നു -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp - dport 443 -j ACCEPT # ssh ആന്തരികമായി മാത്രമല്ല ഈ ഐപിയുടെ iptables ശ്രേണിയിൽ നിന്നും -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT # മോണിറ്ററിംഗ് ഉദാഹരണത്തിന് അവർക്ക് സാബിക്സ് ഉണ്ടെങ്കിൽ അല്ലെങ്കിൽ മറ്റേതെങ്കിലും snmp സേവന iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 10050 -j ACCEPT # icmp, പിംഗ് നന്നായി ഇത് നിങ്ങളുടേതാണ് iptables -A INPUT -p icmp -s 192.168. xx / 24 - പോസ്റ്റ്ഗ്രെസുള്ള i $ intranet -j ACCEPT #mysql പോർട്ട് 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT #sendmail bueeeh നിങ്ങൾക്ക് കുറച്ച് മെയിൽ അയയ്ക്കണമെങ്കിൽ #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # ആന്റി-സ്പൂഫിംഗ് 09/07/2014 # SERVER_IP = "190.xxx" # സെർവർ IP - നിങ്ങളുടെ സെർവറിന്റെ യഥാർത്ഥ വാൻ ഐപി LAN_RANGE = "192.168.xx / 21 "നിങ്ങളുടെ നെറ്റ്‌വർക്കിന്റെ # LAN ശ്രേണി അല്ലെങ്കിൽ എക്‌സ്ട്രാനെറ്റിൽ ഒരിക്കലും പ്രവേശിക്കാൻ പാടില്ലാത്ത നിങ്ങളുടെ vlan # Ip- കൾ,ഞങ്ങൾക്ക് പൂർണ്ണമായും WAN ഇന്റർഫേസ് ഉണ്ടെങ്കിൽ അത് കുറച്ച് # ലോജിക് ഉപയോഗിക്കുക എന്നതാണ്, ആ ഇന്റർഫേസിലൂടെ ഒരിക്കലും # LAN തരം ട്രാഫിക് നൽകരുത് SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0 .16 / XNUMX "# സ്ഥിരസ്ഥിതി പ്രവർത്തനം - ഏതെങ്കിലും റൂൾ ACTION =" ഡ്രോപ്പ് "# എന്റെ സെർവറിന്റെ അതേ ഐപിയുമായി പാക്കുകൾ wan iptables വഴി നടപ്പിലാക്കണം -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION # iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION # വാനിനായുള്ള LAN റേഞ്ചുള്ള പാക്കറ്റുകൾ, നിങ്ങൾക്ക് # ഏതെങ്കിലും പ്രത്യേക നെറ്റ്‌വർക്ക് ഉണ്ടെങ്കിൽ ഞാൻ ഇത് ഇങ്ങനെയാക്കുന്നു, എന്നാൽ ഇനിപ്പറയുന്ന # റൂൾ ഉള്ളിൽ ഇത് അനാവശ്യമാണ് "for" iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION ## എല്ലാ SPOOF നെറ്റ്‌വർക്കുകളും ip in for $ SPOOF_IPS iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION ചെയ്തു

എല്ലായ്പ്പോഴും ഞാൻ നിങ്ങളുടെ അഭിപ്രായങ്ങൾക്കായി കാത്തിരിക്കുന്നു, ഈ ബ്ലോഗിൽ തുടരുക, നന്ദി


ലേഖനത്തിന്റെ ഉള്ളടക്കം ഞങ്ങളുടെ തത്ത്വങ്ങൾ പാലിക്കുന്നു എഡിറ്റോറിയൽ എത്തിക്സ്. ഒരു പിശക് റിപ്പോർട്ടുചെയ്യാൻ ക്ലിക്കുചെയ്യുക ഇവിടെ.

12 അഭിപ്രായങ്ങൾ, നിങ്ങളുടേത് വിടുക

നിങ്ങളുടെ അഭിപ്രായം ഇടുക

നിങ്ങളുടെ ഇമെയിൽ വിലാസം പ്രസിദ്ധീകരിച്ചു ചെയ്യില്ല. ആവശ്യമായ ഫീൽഡുകൾ കൊണ്ട് അടയാളപ്പെടുത്തുന്നു *

*

*

  1. ഡാറ്റയുടെ ഉത്തരവാദിത്തം: മിഗുവൽ ഏഞ്ചൽ ഗാറ്റൻ
  2. ഡാറ്റയുടെ ഉദ്ദേശ്യം: സ്പാം നിയന്ത്രിക്കുക, അഭിപ്രായ മാനേജുമെന്റ്.
  3. നിയമസാധുത: നിങ്ങളുടെ സമ്മതം
  4. ഡാറ്റയുടെ ആശയവിനിമയം: നിയമപരമായ ബാധ്യതയല്ലാതെ ഡാറ്റ മൂന്നാം കക്ഷികളുമായി ആശയവിനിമയം നടത്തുകയില്ല.
  5. ഡാറ്റ സംഭരണം: ഒസെന്റസ് നെറ്റ്‌വർക്കുകൾ (ഇയു) ഹോസ്റ്റുചെയ്യുന്ന ഡാറ്റാബേസ്
  6. അവകാശങ്ങൾ: ഏത് സമയത്തും നിങ്ങളുടെ വിവരങ്ങൾ പരിമിതപ്പെടുത്താനും വീണ്ടെടുക്കാനും ഇല്ലാതാക്കാനും കഴിയും.

  1.   HO2Gi പറഞ്ഞു

    കുറച്ചുകൂടി നന്ദി പകർത്തിയത് തുടരാൻ ഇത് എന്നെ സഹായിക്കുന്നു.

    1.    ബ്രോഡിഡാലെ പറഞ്ഞു

      നിങ്ങൾക്ക് സ്വാഗതം, സഹായമായതിൽ സന്തോഷമുണ്ട്

  2.   ജാവിയർ പറഞ്ഞു

    ക്ഷമിക്കണം, എനിക്ക് രണ്ട് ചോദ്യങ്ങളുണ്ട് (കൂടാതെ ഒന്ന് സമ്മാനമായി 😉):

    അപ്പാച്ചെ പ്രവർത്തിപ്പിക്കുന്നതിനും SSH ഒഴികെ ബാക്കിയുള്ളവ അടയ്ക്കുന്നതിനും നിങ്ങൾ ഈ കോൺഫിഗറേഷനുമായി എത്തുമോ?

    # ഞങ്ങൾ വൃത്തിയുള്ള പട്ടികകൾ
    iptables -F
    iptables -X

    ഞങ്ങൾ നാറ്റ് വൃത്തിയാക്കുന്നു

    iptables -t nat -F
    iptables -t nat -X

    iptables -A INPUT -p tcp –dport 80 -j സ്വീകരിക്കുക

    ssh ആന്തരികമായും ഐ‌പിയുടെ ഈ ശ്രേണിയിൽ‌ നിന്നും മാത്രം

    iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet –dport 7659 -j ACCEPT

    രണ്ടാമത്തെ ചോദ്യം: ഈ ഉദാഹരണത്തിൽ എസ്എസ്എച്ചിൽ 7659 പോർട്ട് ഉപയോഗിച്ചിട്ടുണ്ടോ?

    മൂന്നാമത്തെയും അവസാനത്തെയും: ഏത് ഫയലിലാണ് ഈ കോൺഫിഗറേഷൻ സംരക്ഷിക്കേണ്ടത്?

    ട്യൂട്ടോറിയലിന് വളരെ നന്ദി, നിങ്ങൾ അത്തരമൊരു പുതുമുഖമാണെന്നും അത് നന്നായി പ്രയോജനപ്പെടുത്താൻ കഴിയാത്തത് ലജ്ജാകരമാണ്.

    1.    ബ്രോഡിഡാലെ പറഞ്ഞു

      അപ്പാച്ചെയിൽ നിന്ന് http നായി നിങ്ങൾക്ക് ആവശ്യമുള്ള നിയമമാണിത്
      iptables -A INPUT -p tcp –dport 80 -j സ്വീകരിക്കുക

      ഡ്രോപ്പ് സ്ഥിരസ്ഥിതി നയങ്ങളും നിങ്ങൾ പ്രഖ്യാപിക്കേണ്ടതുണ്ട് (ഇത് സ്ക്രിപ്റ്റിലാണ്)
      iptables -P INPUT DROP
      iptables -P U ട്ട്‌പുട്ട് അംഗീകരിക്കുക
      iptables -P ഫോർവേഡ് ഡ്രോപ്പ്

      നിങ്ങൾ വിദൂരമാണെങ്കിൽ, അത് നിങ്ങളെ വലിച്ചെറിയും.
      iptables -A INPUT -m state -state ESTABLISHED, RELATED -j ACCEPT

      ഉദാഹരണത്തിൽ 7659 ആ ssh ന്റെ പോർട്ട് ആണെങ്കിൽ, സ്ഥിരസ്ഥിതിയായി ഇത് 22 ആണ്, എന്നിരുന്നാലും "നന്നായി അറിയാത്ത" ഒരു പോർട്ടിലേക്ക് മാറാൻ ഞാൻ ശുപാർശ ചെയ്യുന്നു.
      മനുഷ്യൻ എനിക്കറിയില്ല, നിങ്ങൾക്ക് ആവശ്യമുള്ളതുപോലെ ... firewall.sh നിങ്ങൾ അത് rc.local (sh firewall.sh) ൽ ഇടുന്നതിനാൽ അത് യാന്ത്രികമായി പ്രവർത്തിക്കുന്നു, ഇത് നിങ്ങളുടെ പക്കലുള്ള ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തെ ആശ്രയിച്ചിരിക്കുന്നു, നിങ്ങൾക്ക് നേരിട്ട് നിയമങ്ങൾ സ്ഥാപിക്കാൻ കഴിയുന്ന ഫയലുകൾ ഉണ്ട്.

  3.   ജെജെ പറഞ്ഞു

    ഹേയ്, നിങ്ങളുടെ സ്ക്രിപ്റ്റ് വളരെ മികച്ചതാണ്, അത് വിശകലനം ചെയ്യുന്നു… .ഒരു നിർദ്ദിഷ്ട വെബ്‌സൈറ്റിലേക്കുള്ള എന്റെ ഉപയോക്താക്കളിൽ നിന്നുള്ള എല്ലാ അഭ്യർത്ഥനകളും എനിക്ക് എങ്ങനെ നിഷേധിക്കാമെന്ന് നിങ്ങൾക്കറിയാമോ?…. എന്നാൽ ഈ വെബ്‌സൈറ്റിന് ധാരാളം സെർവറുകൾ ഉണ്ട്….

    1.    ബ്രോഡിഡാലെ പറഞ്ഞു

      ഞാൻ മറ്റ് ഓപ്ഷനുകൾ ശുപാർശ ചെയ്യുന്നു:
      1) നിങ്ങളുടെ dns- ൽ ഒരു വ്യാജ മേഖല സൃഷ്ടിക്കാൻ നിങ്ങൾക്ക് കഴിയും ...
      2) നിങ്ങൾക്ക് acl ഉപയോഗിച്ച് ഒരു പ്രോക്സി സ്ഥാപിക്കാം
      പാപ നിരോധനം
      ഐപ്‌ടേബിളുകൾക്കായി നിങ്ങൾക്ക് ഇത് ഇഷ്‌ടപ്പെടാം ... ഇത് എല്ലായ്പ്പോഴും മികച്ച ഓപ്ഷനല്ല (കൂടുതൽ വഴികളുണ്ട്)
      iptables -A INPUT -s blog.desdelinux.ne -j DROP
      iptables -A OUTPUT -d blog.fromlinux.net -j DROP

      അത് പ്രവർത്തിച്ചോ എന്ന് എന്നോട് പറയുക

  4.   ജാവിയർ പറഞ്ഞു

    ഉത്തരത്തിന് നന്ദി, എല്ലാം മായ്ച്ചു. സ്വകാര്യ തുറമുഖങ്ങൾ 7659 ൽ ആരംഭിക്കുന്നതിനാൽ 49152 ഉപയോഗിക്കുന്നതിൽ ഞാൻ ആശ്ചര്യപ്പെട്ടതിനാൽ ഞാൻ തുറമുഖത്തെക്കുറിച്ച് ചോദിക്കുകയായിരുന്നു, മാത്രമല്ല ഇത് ചില സേവനങ്ങളിലോ മറ്റോ തടസ്സപ്പെടുത്താം.
    വീണ്ടും, എല്ലാത്തിനും നന്ദി, അത് കൊള്ളാം!

    നന്ദി.

  5.   Sic പറഞ്ഞു

    ബ്രോഡിഡാലെ, എനിക്ക് നിങ്ങളുമായി എങ്ങനെ ബന്ധപ്പെടാനാകും? നിങ്ങളുടെ സ്‌ക്രിപ്റ്റ് വളരെ രസകരമാണ്.

    1.    ബ്രോഡിഡാലെ പറഞ്ഞു
  6.   കാർലോസ് പറഞ്ഞു

    മുമ്പത്തെ അവസാന വരി "iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION" നിങ്ങളുടെ സ്വന്തം മെഷീൻ കബളിപ്പിക്കുന്നതിൽ നിന്ന് തടയാൻ ഉണ്ടോ? അല്ലെങ്കിൽ വിഷം കലർന്ന ചില പാക്കറ്റുകൾ പ്രവേശിച്ച് ആ വിഷമുള്ള ഉറവിടത്തിൽ നിന്ന് പുറത്തുപോകാൻ സാധ്യതയുണ്ടോ, അതുകൊണ്ടാണ് ഈ നിയമം U ട്ട്‌പുട്ടിനൊപ്പം ഉൾപ്പെടുത്തിയിരിക്കുന്നത്?
    വിശദീകരണത്തിന് വളരെ നന്ദി !!!

  7.   fran പറഞ്ഞു

    ഇത് എന്റെ സ്വന്തം iptables സ്ക്രിപ്റ്റ് ആണ്, ഇത് വളരെ പൂർത്തിയായി:

    # franes.iptables.airoso
    # doc.iptables.airoso: ലെഗസി, nft എന്നിവയ്‌ക്കായുള്ള iptables
    #
    # ഫയർവാൾ പോർട്ടുകൾ
    ########################
    #! / ബിൻ / ബാഷ്
    #
    # സ്ക്രീൻ മായ്‌ക്കുക
    #########################################
    വ്യക്തമാക്കുക
    # ഒരു ശൂന്യമായ വരി വിടുക
    എക്കോ
    എക്‌സ്‌പോർട്ടുചെയ്യുക അതെ = »» ഇല്ല = »എക്കോ ഓഫ്»
    # ആക്സസ് അനുവദിക്കുന്നതിന് നിങ്ങൾക്ക് മാറ്റാൻ കഴിയുന്ന വേരിയബിളുകൾ
    # അതെ അല്ലെങ്കിൽ $ ഇല്ല ഉപയോഗിച്ച് പരിഷ്‌ക്കരിക്കുന്നതിനുള്ള #################### വേരിയബിളുകൾ
    കയറ്റുമതി hayexcepciones = »$ ഇല്ല»
    # ഒഴിവാക്കലുകൾ‌ ഉണ്ട്: $ അതെ അസാധാരണമായ ഹോസ്റ്റുകളെ അനുവദിക്കുന്നതിനും $ അപ്രാപ്‌തമാക്കുന്നതിനും
    കയറ്റുമതി ഹേപ്പിംഗ് = »$ ഇല്ല»
    # ഹേപ്പിംഗ്: third അതെ മൂന്നാം കക്ഷി പിംഗുകൾ അനുവദിക്കുന്നതിനും $ നിരസിക്കാൻ ഇല്ല
    കയറ്റുമതി haylogserver = »$ ഇല്ല»
    # haylogeosserver: $ അതെ tcp ലോഗിൻ ചെയ്യാൻ കഴിയും $ ഇല്ല tcp ലോഗിൻ ചെയ്യാൻ കഴിയില്ല
    ######
    "," ചേർക്കുന്നത് പരിഷ്‌ക്കരിക്കുന്നതിനുള്ള വേരിയബിളുകൾ അല്ലെങ്കിൽ ":" ശ്രേണികളോടെ ###############
    എക്‌സ്‌പോർട്ട് ഒഴിവാക്കലുകൾ = »baldras.wesnoth.org»
    # ഒഴിവാക്കലുകൾ‌ ഫയർ‌വാളിൽ‌ നിന്നും അല്ലെങ്കിൽ‌ മൂല്യമില്ലാതെ ഒറ്റ അല്ലെങ്കിൽ‌ ഒന്നിലധികം ഹോസ്റ്റുകളെ അനുവദിക്കുന്നു
    കയറ്റുമതി ലോഗ്‌സർവർ = നിരസിക്കുക, ipp, dict, ssh
    പാക്കറ്റുകൾ വരുമ്പോൾ ലോഗിൻ ചെയ്‌തിരിക്കുന്ന # tcp സെർവർ പോർട്ടുകൾ
    എക്‌സ്‌പോർട്ട് റെഡ്സർവർ = 0/0
    # റെഡ്സർവർ: സെർവർ പോർട്ടുകൾക്കായുള്ള നെറ്റ്‌വർക്ക് പ്രാദേശിക നെറ്റ്‌വർക്ക് അല്ലെങ്കിൽ നിരവധി ഐപികൾ
    കയറ്റുമതി ക്ലയന്റ് ചുവപ്പ് = 0/0
    #clientnet: ക്ലയന്റ് പോർട്ടുകൾക്കായുള്ള നെറ്റ്‌വർക്ക് എല്ലാ നെറ്റ്‌വർക്കുകൾക്കും നല്ലതാണ്
    കയറ്റുമതി servidortcp = നിരസിക്കുക, ipp, dict, 6771
    # servidortcp: നിർദ്ദിഷ്ട tcp സെർവർ പോർട്ടുകൾ
    കയറ്റുമതി serverudp = നിരസിക്കുക
    #udpserver: നിർദ്ദിഷ്ട udp സെർവർ പോർട്ടുകൾ
    കയറ്റുമതി clientudp = ഡൊമെയ്ൻ, ബൂട്ട്പിസി, ബൂട്ട്പ്സ്, എൻ‌ടി‌പി, 20000: 45000
    #udp ക്ലയൻറ്: നിർദ്ദിഷ്ട udp ക്ലയൻറ് പോർട്ടുകൾ
    കയറ്റുമതി clienttcp = ഡൊമെയ്ൻ, http, https, ipp, git, dict, 14999: 15002
    # tcp ക്ലയൻറ്: നിർദ്ദിഷ്ട tcp ക്ലയൻറ് പോർട്ടുകൾ
    ########################## /# / #c / f -iptables / default.cfg |||||
    പരിഷ്ക്കരിക്കാനുള്ള വേരിയബിളുകളുടെ അവസാനം ######################
    കയറ്റുമതി ഫയർവാൾ = $ 1 വേരിയബിളുകൾ = $ 2
    if ["$ വേരിയബിളുകൾ" = "$ NULL"]; ഉറവിടം /etc/f-iptables/default.cfg;
    അല്ലെങ്കിൽ ഉറവിടം / etc / f-iptables / $ 2; fi
    ########################## അല്ലെങ്കിൽ .cfg ഫയൽ ഉപയോഗിച്ച് വേരിയബിളുകളെ പുനരാലേഖനം ചെയ്യും
    ############################# #############################
    എക്‌സ്‌പോർട്ട് ഫയർവാൾ = $ 1 എക്‌സ്‌പോർട്ട് വേരിയബിളുകൾ = $ 2
    ############################### യാന്ത്രിക സിസ്റ്റം വേരിയബിളുകൾ
    if ["$ firewall" = "വിച്ഛേദിച്ചു"]; FIREWALL DISCONNECTED എക്കോ ചെയ്യുക;
    എക്‌സ്‌പോർട്ട് ആക്റ്റിവേറ്റർ‌സർ = »$ ഇല്ല» ആക്റ്റിവേറ്റ് ക്ലയൻറ് = »$ ഇല്ല» നനവ് = »$ ഇല്ല»;
    elif ["$ firewall" = "client"]; തുടർന്ന് എക്കോ FIREWALL CLIENT;
    എക്‌സ്‌പോർട്ട് ആക്റ്റിവേറ്റർ‌സർ = »$ ഇല്ല» ആക്റ്റിവേറ്റ് ക്ലയൻറ് = »» വെറ്റ് = »$ ഇല്ല»;
    elif ["$ firewall" = "server"]; FIREWALL SERVER പ്രതിധ്വനിപ്പിക്കുക;
    എക്‌സ്‌പോർട്ട് ആക്റ്റിവേറ്റർ‌സർ = »» ആക്റ്റിവേറ്റ് ക്ലയൻറ് = »$ ഇല്ല» നനവ് = »$ ഇല്ല»;
    elif ["$ firewall" = "ക്ലയന്റും സെർവറും"]; ഫയർവാൾ ക്ലയന്റും സെർവറും പ്രതിധ്വനിപ്പിക്കുക;
    എക്‌സ്‌പോർട്ട് ആക്റ്റിവേറ്റ് സെർവർ = »»; എക്‌സ്‌പോർട്ട് ആക്റ്റിവേറ്റ് ക്ലയൻറ് = »»; എക്‌സ്‌പോർട്ട് വെറ്റ് = »$ ഇല്ല»;
    elif ["$ firewall" = "അനുവദനീയമായത്"]; പെർമിസീവ് ഫയർവാൾ പ്രതിധ്വനിപ്പിക്കുക;
    എക്‌സ്‌പോർട്ട് ആക്റ്റിവേറ്റർ‌സർ = »$ ഇല്ല» ആക്റ്റിവേറ്റ് ക്ലയൻറ് = »$ ഇല്ല» വെറ്റ് = »»;
    മറ്റാരെങ്കിലും
    su സുഡോ എക്കോ ഐപ്റ്റബിൾസ്-ലെഗസി പരിശോധിക്കുക:
    su sudo iptables-leg -v -L INPUT പരിശോധിക്കുക
    su sudo iptables-leg -v -L OUTPUT പരിശോധിക്കുക
    su സുഡോ എക്കോ iptables-nft പരിശോധിക്കുക:
    su sudo iptables-nft -v -L INPUT പരിശോധിക്കുക
    su sudo iptables-nft -v -L OUTPUT പരിശോധിക്കുക
    എക്കോ _____parameters____ $ 0 $ 1 $ 2
    എക്കോ "പാരാമീറ്ററുകളില്ലാതെ കാസ്റ്റുചെയ്യുക iptables പട്ടികപ്പെടുത്തുക എന്നതാണ്."
    എക്കോ "ആദ്യത്തെ പാരാമീറ്റർ (iptables പ്രാപ്തമാക്കുക): വിച്ഛേദിച്ചു അല്ലെങ്കിൽ ക്ലയന്റ് അല്ലെങ്കിൽ സെർവർ അല്ലെങ്കിൽ ക്ലയന്റ്, സെർവർ അല്ലെങ്കിൽ അനുവദനീയമായത്."
    എക്കോ "രണ്ടാമത്തെ പാരാമീറ്റർ: (ഓപ്ഷണൽ): സ്ഥിരസ്ഥിതി .cfg ഫയൽ /etc/f-iptables/default.cfg തിരഞ്ഞെടുക്കുന്നു"
    എക്കോ "വേരിയബിൾ ക്രമീകരണങ്ങൾ:" $ (ls / etc / f-iptables /)
    പുറത്തുകടക്കുക 0; fi
    ###############
    എക്കോ
    എക്കോ വിച്ഛേദിച്ചു അല്ലെങ്കിൽ ക്ലയന്റ് അല്ലെങ്കിൽ സെർവർ, ക്ലയന്റ്, സെർവർ അല്ലെങ്കിൽ പെർമിസീവ് അല്ലെങ്കിൽ വേരിയബിളുകൾ അല്ലെങ്കിൽ ഐപ്ടേബിളുകൾ ലിസ്റ്റുചെയ്യാൻ പാരാമീറ്റർ ഉപയോഗിക്കാതെ.
    എക്കോ $ 0 ഫയലിനുള്ളിൽ എഡിറ്റുചെയ്യാവുന്ന ചില വേരിയബിളുകൾ അടങ്ങിയിരിക്കുന്നു.
    ######################### മുകളിൽ പറഞ്ഞ വേരിയബിളുകൾ സജീവമാക്കി
    ##########################
    എപ്റ്റബിൾ വേരിയബിളുകൾ ക്രമീകരിക്കുന്നു
    എക്കോ ആക്റ്റിവേറ്റഡ് വേരിയബിളുകൾ
    എക്കോ
    #######################
    എക്കോ ഐപ്ടബിൾസ്-ലെഗസി ക്രമീകരിക്കുന്നു
    sudo / usr / sbin / iptables-legacy -t filter -F
    sudo / usr / sbin / iptables-legacy -t nat -F
    sudo / usr / sbin / iptables-Legacy -t mangle -F
    sudo / usr / sbin / ip6tables-leg -t filter -F
    sudo / usr / sbin / ip6tables-Legacy -t nat -F
    sudo / usr / sbin / ip6tables-Legacy -t mangle -F
    sudo / usr / sbin / ip6tables-legacy -A INPUT -j DROP
    sudo / usr / sbin / ip6tables-legacy -A OUTPUT -j DROP
    sudo / usr / sbin / ip6tables-legacy -A FORWARD -j DROP
    sudo / usr / sbin / iptables-legacy -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ haylogserver sudo / usr / sbin / iptables-legacy -A INPUT -p tcp -m multiport –dports $ logserver -j LOG> / dev / null
    y hayeexceptions sudo / usr / sbin / iptables-legacy -A INPUT -s $ ഒഴിവാക്കലുകൾ -j ACCEPT> / dev / null
    su സുഡോ സെർവർ സജീവമാക്കുക / usr / sbin / iptables-legacy -A INPUT -p udp -m multiport –dports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    server സെർവർ സജീവമാക്കുക sudo / usr / sbin / iptables-legacy -A INPUT -p tcp -m multiport -dports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ ആക്റ്റിവേറ്റ് ക്ലയൻറ് സുഡോ / usr / sbin / iptables- ലെഗസി
    $ ആക്റ്റിവേറ്റ് ക്ലയൻറ് സുഡോ / usr / sbin / iptables- ലെഗസി
    yp ഹൈപ്പിംഗ് സുഡോ / usr / sbin / iptables-ലെഗസി -A INPUT -p icmp –icmp-type എക്കോ-മറുപടി -j ACCEPT> / dev / null
    sudo / usr / sbin / iptables-legacy -A INPUT -j DROP> / dev / null
    sudo / usr / sbin / iptables-legacy -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    y hayeexceptions sudo / usr / sbin / iptables-legacy -A OUTPUT -d $ ഒഴിവാക്കലുകൾ -j ACCEPT> / dev / null
    su സുഡോ സെർവർ സജീവമാക്കുക / usr / sbin / iptables-legacy -A OUTPUT -p udp -m multiport –sports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    server സെർവർ സജീവമാക്കുക sudo / usr / sbin / iptables-legacy -A OUTPUT -p tcp -m multiport –sports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-legacy -A OUTPUT -p udp -m multiport –dports $ clientudp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-legacy -A OUTPUT -p tcp -m multiport –dports $ clienttcp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    yp ഹൈപ്പിംഗ് സുഡോ / usr / sbin / iptables-legacy -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT> / dev / null
    sudo / usr / sbin / iptables-legacy -A OUTPUT -j DROP
    sudo / usr / sbin / iptables-legacy -A FORWARD -j DROP
    എക്കോ iptables- ലെഗസി പ്രവർത്തനക്ഷമമാക്കി
    എക്കോ
    എക്കോ iptables-nft സജ്ജമാക്കുന്നു
    sudo / usr / sbin / iptables-nft -t filter -F
    sudo / usr / sbin / iptables-nft -t nat -F
    sudo / usr / sbin / iptables-nft -t mangle -F
    sudo / usr / sbin / ip6tables-nft -t filter -F
    sudo / usr / sbin / ip6tables-nft -t nat -F
    sudo / usr / sbin / ip6tables-nft -t mangle -F
    sudo / usr / sbin / ip6tables-nft -A INPUT -j DROP
    sudo / usr / sbin / ip6tables-nft -A OUTPUT -j DROP
    sudo / usr / sbin / ip6tables-nft -A FORWARD -j DROP
    sudo / usr / sbin / iptables-nft -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ haylogserver sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m multiport –dports $ logserver -j LOG> / dev / null
    y hayeexceptions sudo / usr / sbin / iptables-nft -A INPUT -s $ ഒഴിവാക്കലുകൾ -j ACCEPT> / dev / null
    server സെർവർ സജീവമാക്കുക sudo / usr / sbin / iptables-nft -A INPUT -p udp -m multiport –dports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    server സെർവർ സജീവമാക്കുക sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m multiport –dports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-nft -A INPUT -p udp -m multiport –sports $ clientudp -m state -state established -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m multiport –sports $ clienttcp -m state –state established -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    yp ഹൈപ്പിംഗ് സുഡോ / usr / sbin / iptables-nft -A INPUT -p icmp –icmp-type എക്കോ-മറുപടി -j ACCEPT> / dev / null
    sudo / usr / sbin / iptables-nft -A INPUT -j DROP> / dev / null
    sudo / usr / sbin / iptables-nft -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ hayeexceptions sudo / usr / sbin / iptables-nft -A OUTPUT -d $ ഒഴിവാക്കലുകൾ -j ACCEPT> / dev / null
    server സെർവർ സജീവമാക്കുക sudo / usr / sbin / iptables-nft -A OUTPUT -p udp -m multiport –sports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    server സെർവർ സജീവമാക്കുക sudo / usr / sbin / iptables-nft -A OUTPUT -p tcp -m multiport –sports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-nft -A OUTPUT -p udp -m multiport –dports $ clientudp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-nft -A OUTPUT -p tcp -m multiport –dports $ clienttcp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    yp ഹൈപ്പിംഗ് സുഡോ / usr / sbin / iptables-nft -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT> / dev / null
    sudo / usr / sbin / iptables-nft -A OUTPUT -j DROP
    sudo / usr / sbin / iptables-nft -A FORWARD -j DROP
    എക്കോ iptables-nft പ്രവർത്തനക്ഷമമാക്കി
    എക്കോ
    $ നനഞ്ഞ sudo / usr / sbin / iptables-legacy -F> / dev / null
    $ നനഞ്ഞ sudo / usr / sbin / iptables-Legacy -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ നനഞ്ഞ sudo / usr / sbin / iptables-Legacy -A INPUT -m state -state established -j ACCEPT> / dev / null
    $ വെറ്റ് സുഡോ / usr / sbin / iptables-legacy -A INPUT -j DROP> / dev / null
    $ നനഞ്ഞ സുഡോ / usr / sbin / iptables-legacy -A OUTPUT -j ACCEPT> / dev / null
    $ നനഞ്ഞ സുഡോ / usr / sbin / iptables-legacy -A FORWARD -j DROP> / dev / null
    $ നനഞ്ഞ sudo / usr / sbin / iptables-nft -F> / dev / null
    $ വെറ്റ് സുഡോ / usr / sbin / iptables-nft -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ നനഞ്ഞ sudo / usr / sbin / iptables-nft -A INPUT -m state -state established -j ACCEPT> / dev / null
    $ നനഞ്ഞ sudo / usr / sbin / iptables-nft -A INPUT -j DROP> / dev / null
    $ നനഞ്ഞ sudo / usr / sbin / iptables-nft -A OUTPUT -j ACCEPT> / dev / null
    $ നനഞ്ഞ sudo / usr / sbin / iptables-nft -A FORWARD -j DROP> / dev / null
    #######################
    എക്കോ നിങ്ങൾ $ 0 $ 1 $ 2 എറിഞ്ഞു
    # സ്ക്രിപ്റ്റിൽ നിന്ന് പുറത്തുകടക്കുന്നു
    പുറത്തുകടക്കുക 0

  8.   ലൂയിസ് ദുരാൻ പറഞ്ഞു

    ഈ ഫയർവാൾ എന്റെ ഗേറ്റ്‌വേയ്‌ക്കായി ഉപയോഗിക്കുകയും ലാനിനുള്ളിൽ ഒരു കണവ ഉണ്ടെങ്കിൽ ഞാൻ എങ്ങനെ ഒരു റൂൾ സജ്ജമാക്കും ???