iptables防火墙脚本应用

推荐原创

不死鸟一辉 2013-09-09 23:26:46 博主文章分类：Linux应用杂烩 ©著作权

©著作权归作者所有：来自51CTO博客作者不死鸟一辉的原创作品，请联系作者获取转载授权，否则将追究法律责任

本脚本修改自鸟哥的经典iptables防火墙脚本，做了简化适用于单机服务器环境

1、将防火墙规则文件放置在相应的目录内

（1）防火墙规则

iptables.rule 如下：

#!/bin/bash
#########################################################################
EXTIF="em1"
INIF="em2"
INNET=""
export EXTIF INIF INNET
##########################################################################
echo "1" /proc/sys/net/ipv4/tcp_syncookies
echo "1" /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
for i in /proc/sys/net/ipv4/conf/*/{rp_filter,log_martians};do
    echo "1" > $i
done
for i in /proc/sys/net/ipv4/conf/*/{accept_source_route,accept_redirects,\
send_redirects};do
    echo "0" > $i
done
###########################################################################
PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/bin; export PATH
iptables -F
iptables -X
iptables -Z
iptables -P INPUT   DROP
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
############################################################################
if [ -f /usr/local/virus/iptables/iptables.deny ]; then
    sh /usr/local/virus/iptables/iptables.deny
fi
if [ -f /usr/local/virus/iptables/iptables.allow ]; then
    sh /usr/local/virus/iptables/iptables.allow
fi
if [ -f /usr/local/virus/iptables/iptables.http ]; then
    sh /usr/local/virus/iptables/iptables.http
fi
#############################################################################
AICMP="0 3 3/4 4 11 12 14 16 18"
for tyicmp in $AICMP
do
  iptables -A INPUT -i $EXTIF -p icmp --icmp-type $tyicmp -j ACCEPT
done
iptables -A INPUT -s 172.16.0.1 -p icmp --icmp-type 8 -j ACCEPT #Cacti Request
#############################################################################
#iptables -A INPUT -p TCP -i $EXTIF --dport 21 --sport 1024:65534 -j ACCEPT #FTP
iptables -A INPUT -p TCP -i $EXTIF --dport 1230:1234 --sport 1024:65534 -j ACCEPT #Game_Server
iptables -A INPUT -p TCP -i $EXTIF --dport 22 --sport 1024:65534 -j ACCEPT #SSH
#iptables -A INPUT -p TCP -i $EXTIF --dport 25 --sport 1024:65534 -j ACCEPT #SMTP
#iptables -A INPUT -p UDP -i $EXTIF --dport 53 --sport 1024:65534 -j ACCEPT #DNS
#iptables -A INPUT -p TCP -i $EXTIF --dport 53 --sport 1024:65534 -j ACCEPT #DNS
iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j ACCEPT #WWW
iptables -A INPUT -p TCP -i $EXTIF --dport 3306 --sport 1024:65534 -j ACCEPT #MySQL
iptables -A INPUT -p UDP -i $EXTIF --dport 161 --sport 1024:65534 -j ACCEPT #SNMP
#iptables -A INPUT -p TCP -i $EXTIF --dport 110 --sport 1024:65534 -j ACCEPT #POP3
#iptables -A INPUT -p TCP -i $EXTIF --dport 443 --sport 1024:65534 -j ACCEPT #HTTPS
##############################################################################
/etc/init.d/iptables save

iptables.allow 如下：

#! /bin/bash
iptables -A INPUT -i $EXTIF -s 172.16.0.1 -p tcp --dport 22 -j ACCEPT

iptables.deny 如下：

#! /bin/bash
iptables -A INPUT -i $EXTIF -s 172.16.0.2 -j DROP

（2）放置目录：

# mkdir -p /usr/local/virus/iptables

# cp /tools/iptables.* /usr/local/virus/iptables/

2、授予权限

# cd /usr/local/virus/iptables/

# chmod 700 iptables.*

3、加入开启自启动

# vim /etc/rc.d/rc.local

#YX Firewall
/usr/local/virus/iptables/iptables.rule

上一篇：创建初始脚本工具mkscript2.sh（简化版）

下一篇：搭建VIP和RIP不在同一网段的DR模型的LVS

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	在线客服	网站地图	意见反馈

开源基础软件社区	51CTO学堂
51CTO	汽车开发者社区