第一次发贴,iptable教程
新人,感觉coyote真的很强,但是本人能力有限,为了封端口找了篇iptable的介绍,和大家共同学习
[ 本帖最后由 exertroar 于 2006-4-20 16:13 编辑 ]
这是禁止允许和禁止端口的
iptables -A FORWARD -p TCP --dport 25 -j ACCEPTiptables -A FORWARD -p TCP --dport 8180 -j ACCEPT
iptables -A FORWARD -p TCP --dport 135 -j ACCEPT
iptables -A FORWARD -p TCP --dport 80 -j ACCEPT
iptables -A FORWARD -p TCP --dport 139 -j ACCEPT
iptables -A FORWARD -p TCP --dport 21 -j ACCEPT
iptables -A FORWARD -p TCP --dport 1:65530 -j DROP
iptables -A FORWARD -p UDP --dport 25 -j ACCEPT
iptables -A FORWARD -p UDP --dport 8180 -j ACCEPT
iptables -A FORWARD -p UDP --dport 135 -j ACCEPT
iptables -A FORWARD -p UDP --dport 80 -j ACCEPT
iptables -A FORWARD -p UDP --dport 139 -j ACCEPT
iptables -A FORWARD -p UDP --dport 21 -j ACCEPT
iptables -A FORWARD -p UDP --dport 1:65530 -j DROP
对高手来说是小菜了,不过对于我来讲不大容易,我还有疑问:
允许的我写的是不是能精简点
1。用21,80,135,139,8180讲允许的口写在一起
2。iptable 是不是在linux中都通用,也就是任何版本的格式都一样?
3。高手们看看都没有什么贻笑大方的地方,希望指正 脚本写的都还好...就是光一个NAT的多..防火墙的再丰富些就好了..安全也很重要的 6.4.3.4. Multiport match
多端口匹配扩展使我们能够在一条规则里指定不连续的多个端口,如果没有这个扩展,我们只能按端口来写规则了。其实这只是标准端口匹配的增强版罢了,使我们书写规则更方便而已。
注意:不能在一条规则里同时使用标准端口匹配和多端口匹配,如--sport 1024:63353 -m multiport --dport 21,23,80。这条规则并不能想你想象的那样工作,但也不是不能工作,iptables会使用第一个合法的条件,那么这里多端口匹配就白写了:)
Table 6-11. Multiport match options
Match --source-port
Example iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
Explanation 源端口多端口匹配,最多可以指定15个端口,以英文逗号分隔,注意没有空格。使用时必须有-p tcp或-p udp为前提条件。
Match --destination-port
Example iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
Explanation 目的端口多端口匹配,使用方法和源端口多端口匹配一样,唯一的区别是它匹配的是目的端口。
Match --port
Example iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
Explanation 同端口多端口匹配,意思就是它匹配的是那种源端口和目的端口是同一个端口的包,比如:端口80到端口80的包,110到110的包等。使用方法和源端口多端口匹配一样。 上面是我在Iptables 指南 1.1.19里面直接复制过来的
可以解决LZ的多端口匹配要求 呵呵支持
页:
[1]