伊爱GPRS服务系统路由防火墙脚本
时间:2006-03-23 来源:guofanjuan
# 外网:eth0 61.187.xxx.xxx
# 内网:eth1 192.168.1.0/24
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# 内网访问地址转换,即代理内网机器上网
-A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 61.187.XXX.XXX #公网IP
# 映射GPRS软件访问端口
-A PREROUTING -p tcp -d 61.187.xxx.xxx --dport XXXX -j DNAT --to-destination 192.168.1.3:XXXX
# 映射GPRS终端端口
-A PREROUTING -p tcp -d 61.187.xxx.xxx --dport xxxx -j DNAT --to-destination 192.168.1.3:XXXX
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
#打开内网PING
-A INPUT -i eth1 -s 192.168.1.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
#关闭外网PING 减少被扫描攻击的记录
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
#湖南的DNS为202.103.96.112 可修改为当地DNS
-A RH-Firewall-1-INPUT -p udp --dport 53 -d 202.103.96.112 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# SSHD 服务
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
# WEB服务
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
# FTP服务
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
#邮件服务
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
#GPRS数据端
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport **** -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport **** -j ACCEPT
# 内网代理,不做访问限制
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -j ACCEPT
# 或者只对内网开80 端口,即内网机器只能访问网站,需要其他服务再开对应端口.
#-A RH-Firewall-1-INPUT -p tcp –m tcp --dport 5055 -s 192.168.1.0/24 -j ACCEPT
#拒绝其他访问
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
相关阅读 更多 +
