echo "firewall start! let us go!" 弹出 防火墙开启 冲啊 echo 1 > /proc/sys/net/ipv4/ip_forward 写入 /proc/sys/net/ipv4/ip_forward 值为1 echo 1 > /proc/sys/net/ipv4/ip_dynaddr 写入 /proc/sys/net/ipv4/ip_dynaddr 值为1 echo 0 > /proc/sys/net/ipv4/tcp_ecn 写入 /proc/sys/net/ipv4/tcp_ecn 值为0 echo 1 > /proc/sys/net/ipv4/tcp_syncookies 写入 /proc/sys/net/ipv4/tcp_syncookies 值为1 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 写入/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 值为1
#
/sbin/modprobe ip_tables /sbin/modprobe iptable_nat /sbin/modprobe iptable_filter /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ipt_state /sbin/modprobe ipt_multiport
#
/sbin/iptables -F 删除规则 /sbin/iptables -t nat -F 删除 nat中的规则
#
/sbin/iptables -Z 清零 filter表 /sbin/iptables -t nat -Z 清零 nat表
#
#/sbin/iptables -P INPUT DROP INPUT默认规则 改为DROP
#/sbin/iptables -P FORWARD DROP FORWARD 默认规则 改为 DROP
#/sbin/iptables -P OUTPUT DROP OUTPUT 默认规则 改为DROP
#
/sbin/iptables -A INPUT -i lo -j ACCEPT 在最后添加一条规则 INPUT链 通过lo端口的 接受 /sbin/iptables -A OUTPUT -o lo -j ACCEPT 在最后添加一条规则 OUTPUT链 通过lo端口的 接受
#
/sbin/iptables -A OUTPUT -o eth1 -p tcp -m state --state ESTABLISHED,NEW,RELATED -j ACCEPT
在最后添加一条规则 通过端口eth1 协议tcp的,状态为 ESTABLISHED,NEW,RELATED的 接受
#
/sbin/iptables -A OUTPUT -o eth0 -d $PRIV -j ACCEPT
在最后添加一条规则 OUTPUT链 中 通过eth0口,目标为 $PRIV 的 接受
#
/sbin/iptables -A INUPUT -i eth0 -p tcp -s $PRIV -j ACCEPT
在最后添加一条规则 INPUT链 中 通过eth0端口的 协议tcp的 源为 $PRIV 接受
#
iptables -A INPUT -i eth1 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
在最后添加一条规则 通过eth1口的 协议为tcp的 状态为 ESTABLISHED,RELATED的 接受
#
/sbin/iptables -A INPUT -p icmp --icmp-tye echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT
在最后添加一条规则 协议为icmp 类型为 echo-request 封包 1秒发送1个 容器容量为10 接受
/sbin/iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
在最后添加一条规则 协议为icmp 类型为 echo-reply 接受
#
/sbin/iptables -A OUTPUT --dport 53 -j ACCEPT
在最后添加一条规则 目标端口为 DNS的接受
/sbin/iptables -A INPUT --sport 53 -j ACCEPT
在最后添加一条规则 源端口为 DNS的 接受
#
/sbin/iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j ACCEPT
在最后添加一条规则 协议tcp 目标端口为 135.137.138.139.445的 接受
/sbin/iptables -A FORWARD -i eth0 -j ACCEPT
在最后添加一条规则 通过eth0端口的 接受
/sbin/iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
在最后添加一条规则 通过eth1 端口的 状态为 ESTABLISHED,RELATED的 接受
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
在最后添加一条规则 状态为 ESTABLISHED,RELATED 的接受
/sbin/iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 120 -j LOG --log-level DEBUG
在最后添加一条规则 封包每秒 发送100个 容器容量为120 的 写入日志 并删除
#
#
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d 221.226.x.x --dport 80-j DNAT --to-destination 192.168.5.16:80
在最后添加一条规则 协议为tcp 通过端口eth1 目标地址为 221.226.X.X 目标端口80的 地址转换为 目标192.168.5.16:80
/sbin/iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.5.16 --sport 80-j SNAT --to-source 221.226.x.x
在最后添加一条规则 协议为tcp 通过端口eth1 源地址为 192.168.5.16 源端口80的 地址转换为源 192.168.5.16:80
#
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d 221.226.x.x --dport 21 -j DNAT --to-destination 192.168.5.16:21
在最后添加一条规则 协议为tcp 通过eth1 进入的 目标地址为221.226.x.x 目标端口 21 地址转换 目标地址为 192.168.5.16:21
/sbin/iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.5.16 --sport 21-j SNAT --to-source 221.226.x.x:21
在最后添加一条规则 协议为tcp 通过eth0口输出的 源为192.168.5.16 源端口21 地址转换为 源 221.226.x,x:21
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d 221.226.x.x --dport 20-j DNAT --to-destination 192.168.5.16:20
在最后添加一条规则 协议为tcp 通过eth1 口 进入的 目标地址221.226.x.x 目标端口为20 地址转换为 目标 192.168.5.16:20
/sbin/iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.5.16 --sport 20-j SNAT --to-source 221.226.x.x:20
在最后添加一条规则 协议为tcp 通过eth1口输出的 源为 192.168.5.16 源端口 20 地址转换为 源 221.226.x.x:20
#
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d 221.226.x.x --dport 443 -j DNAT --to-destination 192.168.5.16:443
在最后添加一条规则 协议为tcp 通过eth1口进入的 目标地址221.226.x.x 目标端口 443 地址转换为 目标 192.168.5.16:443
/sbin/iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.5.16 --dport 443 -j SNAT --to-source 221.226.x.x:443
在最后添加一条规则 协议为tcp 通过eth 1 口 传出 源地址192.168.5.16 目标端口 443 地址转换为 源221.226.x.x:443
#
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d 221.226.x.x --dport 25-j --to-destination 192.168.5.16:25
在最后添加一条规则 协议为tcp 通过端口 eth1 目标地址 221.226.x.x 目标端口25 地址转换为 目标 192.168.5.16:25
/sbin/iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.5.16 --sport 25-j --to-source 221.226.x.x:25
在最后添加一条规则 协议为tcp 通过端口 eth1 传出 源为 192.168.5.16 源端口为25 转换为 源 221.226.x.x:25
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d 221.226.x.x --dport 110 -j --to-destination 192.168.5.16:110
在最后添加一条规则 协议为tcp 通过端口 eth1 传入的 目标地址 221.226.x.x 目标端口110 的转换为 目标地址 192.168.5.16:110
/sbin/iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.5.16 --sport 110 -j --to-source 221.226.x.x:110
在最后添加一条规则 协议为tcp 通过端口 eth1 源为192.168.5.16 源端口为110 转换为 源 221.226.x.x:110
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d 221.226.x.x --dport 143 -j --to-destination 192.168.5.16:143
在最后添加一条规则 协议为tcp 通过端口 eth1 传入 目标地址为221.226.x.x 目标端口143 转换为目标端口 192.168.5.16:143
/sbin/iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.5.16 --sport 143 -j --to-source 221.226.x.x:143
在最后添加一条规则 协议为tcp 通过端口 eth1 传出 源为192.168.5.16 源端口 为143 转换为 源 221.226.x.x:143
#
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d 221.226.x.x --dport 23-j --to-destination 192.168.5.16:23
在最后添加一条规则 协议为tcp 通过端口 eth1 目标地址为221.226.x.x,目标端口23 转换为目标地址 192.168.5.16:23
/sbin/iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.5.16 --sport 23-j --to-source 221.226.x.x:23
在最后添加一条规则 协议为tcp 通过端口 eth1 源192.168.5.16 源端口23 转换为 源地址 221.226.x.x:23
#
/sbin/iptables -t nat -A PREROUTING -p tcp -i eth1 -d 221.226.x.x --dport 22-j --to-destination 192.168.5.16:22
在最后添加一条规则 协议为tcp 通过端口eth1 传入 目标地址221.226.x.x 目标端口22 转换为目标地址 192.168.5.16:22
/sbin/iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.5.16 --sport 22-j --to-source 221.226.x.x:22
在最后添加一条规则 协议为tcp 通过端口eth1 传出 源地址 192.168.5.16 源端口22 转换为 源 221.226.x.x:22
#
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
在最后添加一条规则 通过eth1端口输出的 地址伪装
/sbin/iptables -A INPUT -i eth1 -j ext
在最后添加一条规则 通过eth1端口的 ext