2005年1月17日

/etc/conf.d/iptables

iptables 套件設定

# Location in which iptables initscript will save set rules on
# service shutdown
IPTABLES_SAVE="/var/lib/iptables/rules-save"

#Options to pass to iptables-save and iptables-restore SAVE_RESTORE_OPTIONS="-c"

#Save state on stopping iptables SAVE_ON_STOP="no"

# Enabled Forward for ip4 ENABLE_FORWARDING_IPv4="yes"

iptables 規則設定

iptables-save
# Generated by iptables-save v1.2.3 on Fri Mar 22 00:00:07 2002
*filter
:INPUT ACCEPT [16:1638]
:FORWARD ACCEPT [109916:83620350]
:OUTPUT ACCEPT [2156:327352]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -s 220.130.11.8/32 -p tcp -m tcp -j ACCEPT
-A INPUT -i eth0 -s 220.130.11.8/32 -p udp -m udp -j ACCEPT
-A INPUT -i eth0 -s 220.130.11.9/32 -p tcp -m tcp -j ACCEPT
-A INPUT -i eth0 -s 220.130.11.9/32 -p udp -m udp -j ACCEPT
-A INPUT -i eth0 -s 69.6.56.0/24 -p tcp -m tcp --dport 25 -j DROP
-A INPUT -i eth0 -s 61.145.71.0/24 -p tcp -m tcp --dport 25 -j DROP
-A INPUT -i eth0 -s 69.6.57.0/24 -p tcp -m tcp --dport 25 -j DROP
-A INPUT -i eth0 -s 69.6.54.0/24 -p tcp -m tcp --dport 25 -j DROP
-A INPUT -i eth0 -s 82.32.217.0/24 -p tcp -m tcp --dport 25 -j DROP
-A INPUT -i eth0 -s 66.205.222.0/24 -j DROP
-A INPUT -i eth1 -d 207.244.119.109/32 -j DROP
-A INPUT -i eth0 -s 203.69.75.163/32 -j DROP
-A INPUT -i eth0 -s 218.94.25.130/32 -j DROP
-A INPUT -i eth0 -s 61.30.121.0/24 -j DROP
-A INPUT -i eth0 -s 61.222.32.0/24 -j DROP
-A INPUT -i eth0 -s 61.66.7.0/24 -j DROP
-A INPUT -i eth0 -s 210.202.68.0/24 -j DROP
-A INPUT -i eth0 -s 167.206.5.0/24 -j DROP
-A INPUT -i eth0 -s 218.20.0.0/16 -j DROP
-A INPUT -i eth0 -s 218.19.0.0/16 -j DROP
-A INPUT -i eth0 -s 217.97.137.0/24 -j DROP
-A INPUT -i eth0 -s 64.49.223.0/24 -j DROP
-A INPUT -i eth0 -s 32.103.231.0/24 -j DROP
-A INPUT -i eth0 -s 63.147.168.0/24 -j DROP
-A INPUT -i eth0 -s 207.248.48.0/24 -j DROP
-A INPUT -i eth0 -s 61.55.0.0/24 -j DROP
-A INPUT -i eth0 -s 32.103.25.0/24 -j DROP
-A INPUT -i eth0 -s 218.49.222.0/24 -j DROP
-A INPUT -i eth0 -s 32.103.225.0/24 -j DROP
-A INPUT -i eth0 -s 200.63.165.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 12.65.168.0/24 -p tcp -m tcp -j DROP 
-A INPUT -i eth0 -s 61.220.184.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 32.103.25.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 202.155.116.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 210.85.15.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.222.106.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 218.32.228.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 203.43.84.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.216.187.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 202.71.144.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 195.232.61.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.92.0.0/16 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.43.0.0/16 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.97.0.0/16 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.53.0.0/16 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.40.0.0/16 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.144.0.0/16 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.146.0.0/16 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.181.0.0/16 -p tcp -m tcp -j DROP
#-A INPUT -i eth0 -s 220.130.11.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.222.179.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 24.123.204.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 203.157.41.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.222.145.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 211.78.134.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.59.38.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 218.224.231.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 142.227.9.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 61.33.40.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 210.212.255.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 213.219.70.0/24 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -s 202.95.99.0/24 -p tcp -m tcp -j DROP
#-A INPUT -m string --string=root.exe -j DROP
#-A INPUT -m string --string=cmd.exe -j DROP
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth1 -j ACCEPT 
#-A INPUT -i eth0 -p tcp -m tcp --dport 7869 -j ACCEPT
#-A INPUT -i eth0 -p icmp --icmp-type ! echo-request -j ACCEPT
-A INPUT -i eth0 -p icmp --icmp-type echo-request -j DROP
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP 
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP 
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP 
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP 
-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 113 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 137 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 137 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 138 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 138 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 139 -j DROP
-A INPUT -i eth0 -p udp -m udp --dport 139 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
#-A INPUT -i eth0 -s 61.219.235.50/32 -p tcp -m tcp --dport 1521 -j ACCEPT
#-A INPUT -i eth0 -s 61.219.235.50/32 -p tcp -m tcp --dport 2401 -j ACCEPT
#-A INPUT -i eth0 -s 61.219.235.50/32 -p udp -m udp --dport 2401 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3000 -j ACCEPT 
#-A INPUT -i eth0 -p tcp -m tcp --dport 5432 -j DROP
#-A INPUT -i eth0 -s 61.219.235.50/32 -p tcp -m tcp --dport 5801 -j ACCEPT
#-A INPUT -i eth0 -s 61.219.235.50/32 -p tcp -m tcp --dport 5901 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 6881 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 7100 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 8000 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 10000 -j ACCEPT
#-A INPUT -i eth1 -p tcp -m tcp --dport 10025 -j ACCEPT 
#-A INPUT -i eth0 -p tcp -m tcp --dport 21000 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i eth0 -m state --state INVALID,NEW -j DROP 
-A INPUT -i eth1 -p tcp -m tcp -j ACCEPT
-A INPUT -i eth1 -p udp -m udp -j ACCEPT
#-A INPUT -d 220.130.11.8 -p tcp -m tcp --dport 5190 -j ACCEPT
#-A INPUT -i eth3 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -p udp -m udp -j DROP
COMMIT
# Completed on Fri Mar 22 00:00:07 2002
# Generated by iptables-save v1.2.3 on Fri Mar 22 00:00:07 2002
*nat
:PREROUTING ACCEPT [1452:106931]
:POSTROUTING ACCEPT [227:11773]
:OUTPUT ACCEPT 2269
# -A PREROUTING -d 61.222.134.172 -p tcp -m tcp --dport 21000 -j DNAT --to-destination 192.168.0.2:21 
#-A PREROUTING -d 61.222.134.172 -p tcp -m tcp --dport 80 -j DNAT --to-destination 61.222.134.172:8080
#-A PREROUTING -d 61.222.134.172 -p tcp -m tcp --dport 80 -i eth1 -j DNAT --to-destination 192.168.0.246:3389
#-A PREROUTING -d 61.222.134.172 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.251:3389 
#-A PREROUTING -d 61.222.134.172 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.251:80 
#-A PREROUTING -d 61.222.134.172 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.252:8080
# -A PREROUTING -d 61.222.134.172 -p tcp -m tcp --dport 20 -j DNAT --to-destination 192.168.0.2:20
#-A PREROUTING -p udp -m udp --dport 17500 -j DNAT --to-destination 192.168.0.34:17500
#-A PREROUTING -p udp -m udp --dport 17501 -j DNAT --to-destination 192.168.0.34:17501
#-A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.253:80
-A PREROUTING -p tcp -m tcp --dport 113 -j ACCEPT
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j MASQUERADE 
COMMIT
# Completed on Fri Mar 22 00:00:07 2002