Linux:-防火墙iptables如何个性化定制?

主脚本iptables.sh,附属目录functions/iptables.d

每台服务器都存放着唯一的身份标签/usr/local/etc/identity

├── iptables.sh

├── functions
│   ├── iptables.d
│   │   ├── 37w
│   │   ├── 521
│   │   └── 937

主脚本iptables.sh

#!/bin/sh
#
#####################################
# Purpose:    To Set Up Iptables rules
# Author:     Handonglin
# Game:     LHZS
# Date:          2016/06/21
#####################################
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
##########################################################################
########################### Global Setting ###############################
##########################################################################
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -P INPUT  DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
##########################################################################
########################## Global Rules ##################################
##########################################################################
/sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× -m comment --comment "公司办公室网络" -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× -m comment --comment "烈火战神双线中心机" -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× --dport × -m comment --comment "运维双线监控中心" -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --dport ×:× -m comment --comment "vsftpd开放端口" -j ACCEPT
#############################################################################################################
set -e
. $(dirname ${0})/functions/vars && source ${_PATH_OF_IDENTITY_}
. $(dirname ${0})/functions/iptables.d/521
. $(dirname ${0})/functions/iptables.d/937
. $(dirname ${0})/functions/iptables.d/37w
case "${platform}" in
    "937")
        _Rulesby_937
        ;;
    "37W"|"671"|"LIE")
        _Rulesby_37w
        ;;
    *)
        _Rulesby_521
        ;;
esac
set +e
/etc/rc.d/init.d/iptables save
#(END)

附属目录子函数

#!/bin/sh
#
#####################################
# Purpose:    To Set Up Iptables rules
# Author:     Handonglin
# Game:     LHZS
# Date:          2016/06/21
#####################################
#
_Rulesby_521()
{
    case ${type} in
        ENGINE)            
                /sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× --dport ×××× -m comment --comment "后台1访问角色库" -j ACCEPT
                /sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× --dport ×××× -m comment --comment "后台2访问角色库" -j ACCEPT    
                /sbin/iptables -A INPUT -p tcp -s 0/0 --dport ×:× -m comment --comment "游戏网关gateserver" -j ACCEPT    
                /sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× --dport ×××× -m comment --comment "官网访问角色库" -j ACCEPT
                ;;
    
        KUAFU)
                /sbin/iptables -A INPUT -p tcp -s 0/0 --dport ××××:×××× -m comment --comment "开放跨服网关gateserver" -j ACCEPT
                /sbin/iptables -A INPUT -p tcp -s 0/0 --dport ××××:×××× -m comment --comment "开放跨服dbcenterserver" -j ACCEPT    
                /sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× --dport ×××× -m comment --comment "后台1访问跨服日志库" -j ACCEPT
                /sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× --dport ×××× -m comment --comment "后台2访问跨服日志库" -j ACCEPT
                /sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× --dport ×××× -m comment --comment "官网访问角色库" -j ACCEPT
                ;;
    
        COMMON)
                /sbin/iptables -A INPUT -p tcp -s 0/0 --dport ×××× -m comment --comment "管理后台backstage" -j ACCEPT
                /sbin/iptables -A INPUT -p tcp -s 0/0 --dport ××××:×××× -m comment --comment "名字nameserver" -j ACCEPT
                /sbin/iptables -A INPUT -p tcp -s 0/0 --dport ××××:×××× -m comment --comment "会话sessionserver" -j ACCEPT
                /sbin/iptables -A INPUT -p tcp -s 0/0 --dport ××××:×××× -m comment --comment "综合日志loggerserver" -j ACCEPT
                /sbin/iptables -A INPUT -p tcp -s 0/0 -m multiport --dport ××××,×××× -m comment --comment "充值amserver" -j ACCEPT
                /sbin/iptables -A INPUT -p tcp -s 0/0 --dport ××××:×××× -m comment --comment "日志loggerserver聊天监控" -j ACCEPT
                ;;
    
        WEB)
                /sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× --dport ×××× -m comment --comment "后台1访问网站数据库" -j ACCEPT
                /sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× --dport ×××× -m comment --comment "后台2访问网站数据库" -j ACCEPT
                /sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× --dport ×××× -m comment --comment "综合1访问网站数据库" -j ACCEPT
                /sbin/iptables -A INPUT -p tcp -s ×.×.×.×,×.×.×.× --dport ×××× -m comment --comment "综合2访问网站数据库" -j ACCEPT    
                /sbin/iptables -A INPUT -p tcp -s 0/0 --dport ×××× -m comment --comment "网站对外开放" -j ACCEPT
                ;;
    
        RES)
                /sbin/iptables -A INPUT -p tcp -s 0/0 --dport ×××× -m comment --comment "对外开放资源访问" -j ACCEPT
                ;;
        DATA)
                /sbin/iptables -A INPUT -p tcp -s 0/0 --dport ××××:×××× -m comment --comment "开放SaltStack端口" -j ACCEPT
                ;;
    esac
}
时间: 2024-11-05 13:32:52

Linux:-防火墙iptables如何个性化定制?的相关文章

linux防火墙--iptables(二)

五.filter过滤和转发 a.打开内核的IP转发 # sysctl -w net.ipv4.ip_forward=1 或 # echo 1 > /proc/sys/net/ipv4/ip_forward b.基本匹配条件 ·通用匹配 → 可直接使用,不依赖于其他条件或扩展 → 包括网络协议.IP地址.网络接口等条件 ·隐含匹配 → 要求以特定的协议匹配作为前提 → 包括端口.TCP标记.ICMP类型等条件 类别 选项 用法 通用匹配 协议匹配 -p 协议名 地址匹配 -s 源地址      

Linux防火墙iptables简明教程

前几天微魔部落再次遭受到个别别有用心的攻击者的攻击,顺便给自己充个电,复习了一下linux下常见的防火墙iptables的一些内容,但是无奈网上的很多教程都较为繁琐,本着简明化学习的目的,微魔为大家剔除了许多冗余的内容,提取出尽量多的精华部分成文,和大家共同学习,本文涉及的内容包括如下 Linux防火墙iptables简明教程 1.安装iptables 2.查看现有的iptables规则 3.删除某iptables规则 4.清除现有iptables规则 5.创建规则 6.设置开机启动 7.保存i

linux防火墙--iptables(三)

七.SNAT源地址转换 ·Source Network Address Translation ·修改数据包的源地址 ·仅用于nat表的POSTROUTING链 Example:局域网共享公网IP上网 ·配置的关键策略 → 做完路由选择后,针对来自局域网.即将从外网接口发出去的数据包,将其源IP地址修改为 网关的公网IP地址  # iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 69.166

关于Linux防火墙iptables的面试问答

关于Linux防火墙'iptables'的面试问答 Nishita Agarwal是Tecmint的用户,她将分享关于她刚刚经历的一家公司(印度的一家私人公司Pune)的面试经验.在面试中她被问及许多不同的问题,但她是iptables方面的专家,因此她想分享这些关于iptables的问题和相应的答案给那些以后可能会进行相关面试的人.       所有的问题和相应的答案都基于Nishita Agarwal的记忆并经过了重写.   "嗨,朋友!我叫  Nishita Agarwal.我已经取得了理学

linux 防火墙iptables简明教程

前几天微魔部落再次遭受到个别别有用心的攻击者的攻击,顺便给自己充个电,复习了一下linux下常见的防火墙iptables的一些内容,但是无奈网上的很多教程都较为繁琐,本着简明化学习的目的,微魔为大家剔除了许多冗余的内容,提取出尽量多的精华部分成文,和大家共同学习,本文涉及的内容包括如下 Linux防火墙iptables简明教程 1.安装iptables 2.查看现有的iptables规则 3.删除某iptables规则 4.清除现有iptables规则 5.创建规则 6.设置开机启动 7.保存i

Linux防火墙(Iptables)的开启与关闭

Linux防火墙(iptables)的开启与关闭 Linux中的防火墙主要是对iptables的设置和管理. 1. Linux防火墙(Iptables)重启系统生效 开启: chkconfig iptables on 关闭: chkconfig iptables off 2.Linux防火墙(Iptables) 即时生效,重启后失效 开启: service iptables start 关闭: service iptables stop 需要说明的是对于Linux下的其它服务都可以用以上命令执行

Linux服务器集群架构部署搭建(二)linux防火墙iptables使用及NAT共享

第一章 外网防火墙部署企业应用 1.1 生产中iptables的实际应用 ①iptables是基于内核的防火墙,功能非常强大,基于数据包的过滤!特别是可以在一台非常低的硬件配置下跑的非常好.iptables主要工作在OSI七层的2.3.4层.七层的控制可以使用squid代理+iptables. ②iptabes:生产中根据具体情况,一般,内网关闭,外网打开.大并发的情况不能开iptables,影响性能,iptables是要消耗CPU的,所以大并发的情况下,我们使用硬件防火墙的各方面做的很仔细.s

Linux防火墙--iptables学习

iptables是Linux系统提供的一个强大的防火墙工具,可以实现包过滤.包重定向.NAT转换等功能.iptables是免费的,iptables是一个工具,实际的功能是通过netfilter模块来实现的,在内核2.4版本后默认集成到了Linux内核中. 一. iptables的构成 1. 规则(rules) 规则是iptables对数据包进行操作的基本单元.即"当数据包符合规则定义的条件时,就按照规则中定义的动作去处理". 规则中定义的条件一般包括源地址/端口.目的地址/端口.传输协

Linux防火墙iptables/netfilter(一)

防火墙大家都不陌生,或者说都听说过,现实中的防火墙是将一个区域内的火隔离开来使之不蔓延到另一个区域,计算机领域的防火墙与之功能类似,也是为了隔离危险.在如今广阔的互联网领域内,我们一般会相信一个叫做"黑暗森林"的法则.对于这个法则大家可以去搜索一下,它是在<三体>系列小说中写出来的,大致意思是在黑暗丛林中我们无法判断对方对自己是否有恶意, 对方也无法判断我们是否有恶意,所以一见面就把对方灭掉.互联网中的恶意攻击者太多了,我们无法确定它们都是水更无法把它们灭掉,但是我们可以把