close

新增資料夾
1.mkdir /home/user/backup/
user為你的帳號

2.backup內新增iptables.sh文件,然後將以下的文字貼上,然後再去修改你要的部分。


#先阻擋全部
iptables -P INPUT DROP
# 127.0.0.1 本地端回應全接受
iptables -A INPUT -i lo -j ACCEPT

#針對 eth0 這張網卡,設定我主動發出去的回應都予放行
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

#針對 ppp0 (撥號連線)這張網卡,設定我主動發出去的回應都予放行
iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# 192.168.0.1~255 這個網段全放行
#iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j ACCEPT

#SSH
iptables -A INPUT  -i ppp0 -p tcp --dport 22 -j ACCEPT
#http
iptables -A INPUT  -i ppp0 -p tcp --dport 80 -j ACCEPT
#Smtp
iptables -A INPUT  -i ppp0 -p tcp --dport 25 -j ACCEPT
#pop3
iptables -A INPUT  -i ppp0 -p tcp --dport 110 -j ACCEPT
#DNS
iptables -A INPUT  -i ppp0 -p tcp --dport 53  -j ACCEPT
iptables -A INPUT  -i ppp0 -p udp --dport 53  -j ACCEPT
#Imap
iptables -A INPUT  -i ppp0 -p tcp --dport 143  -j ACCEPT
#FTP
iptables -A INPUT  -i ppp0 -p tcp --dport 20:21  -j ACCEPT
#SNMP
iptables -A INPUT  -i ppp0 -p tcp --dport 161  -j ACCEPT
iptables -A INPUT  -i ppp0 -p udp --dport 161  -j ACCEPT
#https
iptables -A INPUT  -i ppp0 -p tcp --dport 443  -j ACCEPT
#rsync
iptables -A INPUT  -i ppp0 -p tcp --dport 873  -j ACCEPT
#icmp 這樣別人就ping的到你
iptables -A INPUT  -i ppp0 -p icmp --icmp-type 8  -j ACCEPT


#隱形掃瞄攻擊防範
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP

#因為有些 Hacker/Cracker 會利用 IPv6 的漏洞攻擊主機,所以封閉幾個重要的 PORT
/sbin/ip6tables -F
/sbin/ip6tables -A INPUT -p tcp --dport 21:23 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 139 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 445 -j DROP
/sbin/ip6tables -A INPUT -p udp --dport 137:138 -j DROP

3.建立捷徑
sudo ln -s /home/user/backup/iptables.sh /etc/init.d/iptables.sh

4.設定檔案權限
sudo chmod 755 /home/user/backup/iptables.sh
*注意User 不要照打

5.將指令加入啟動項目
sudo update-rc.d -f iptables.sh defaults

6.請重新開機

7.檢查是否有工作
sudo iptables -L -n

arrow
arrow
    全站熱搜

    蒼穹 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄