dasomoli/Iptables Rools
|
#!/bin/sh
#iptables ½ÇÇà ÆÄÀÏÀÇ °æ·Î¸¦ Á¤ÀÇÇÑ´Ù IPTABLES="/sbin/iptables" # ±âº» Á¤Ã¥À» Çã¿ë(ACCEPT)À¸·Î ¼³Á¤ÇÑ´Ù. $IPTABLES -P INPUT ACCEPT # ±âÁ¸¿¡ ¼³Á¤µÇ¾î ÀÖ´Â ·êÀ» ¸ðµÎ ÃʱâÈÇÑ´Ù. $IPTABLES -F # Loopback Çã¿ë $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT # ÀÌ¹Ì ¼¼¼ÇÀ» ¸Î¾î »óÅÂÃßÀû Å×ÀÌºí ¸ñ·Ï¿¡ ÀÖ´Â ESTABLISHED,RELATED ÆÐŶÀº Çã¿ëÇÑ´Ù # À̸¦ ÅëÇØ DNS ¼¹öµî ¼¹ö¿¡¼ÀÇ ¿äû¿¡ ´ëÇÑ ÀÀ´ä ÆÐŶµµ Çã¿ëµÈ´Ù. $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # ¼¹ö¸¦ ÇâÇØ µé¾î¿À´Â ÆÐŶ Áß Æ÷Æ®½ºÄµÀ̶ó ÀǽɵǴ ÆÐŶÀÌ ÀÖÀ» °æ¿ì Â÷´ÜÇÑ´Ù. #$IPTABLES -A INPUT -m psd -j DROP # »ï¹Ù ÀÌ¿ë ÆÐŶ Çã¿ë. $IPTABLES -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --dport 137:139 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p UDP -s 192.168.0.0/24 --dport 137:139 -j ACCEPT # Subversion Çã¿ë $IPTABLES -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --sport 1024:65535 --dport 5900 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --sport 1024:65535 --dport 3690 -m state --state NEW -j ACCEPT # À¥ ¼ºñ½º¸¦ Á¦°øÇϱâ À§ÇØ 80¹øÀ¸·Î ÇâÇÏ´Â Ãʱâ(NEW) ÆÐŶÀº Çô¿ëÇÑ´Ù. $IPTABLES -A INPUT -i eth0 -p TCP --dport 3690 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -i eth0 -p UDP --dport 3690 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -i eth0 -p TCP --dport 5900 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -i eth0 -p UDP --dport 5900 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -i eth0 -p TCP --dport 2401 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -i eth0 -p UDP --dport 2401 -m state --state NEW -j ACCEPT # ÀÌÈÄ OUTPUT Àº ¸ðµÎ Çã¿ëÇÏ¿´°í, ÀÀ´ä ÆÐŶ µîÀº ¾Õ¿¡¼ ESTABLISHED·Î Çã¿ëÇؼ ÀÌ ÇÑ ÁÙ ¸¸À¸·Îµµ ¼ºñ½º°¡ Çã¿ëµÈ´Ù. $IPTABLES -A INPUT -i eth0 -p TCP --sport 1024: --dport 80 -m state --state NEW -j ACCEPT # ƯÁ¤ÇÑ IP ´ë¿ª¿¡¼¸¸ ftp ¼ºñ½º¸¦ Çã¿ëÇϱâ À§ÇØ 192.168.0.0/24 ´ë¿ª¿¡¼ 21¹øÀ¸·Î ÇâÇÏ´Â Ãʱâ(NEW) ÆÐŶÀº Çã¿ëÇÑ´Ù. ÀÌÈÄ ÀÀ´ä ÆÐŶ µîÀº ¾Õ¿¡¼ ESTABLISHED ¹× RELATED·Î Çã¿ëÇؼ ÀÌ ÇÑÁÙÀ¸·Îµµ active/passive °ü°è¾øÀÌ FTP ¼ºñ½º°¡ Çã¿ëµÈ´Ù. $IPTABLES -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --sport 1024:65535 --dport 21 -m state --state NEW -j ACCEPT # SSH ¼ºñ½º¸¦ Çã¿ëÇϱâ À§ÇØ 192.168.0.0/24 ´ë¿ª¿¡¼ 22000¹øÀ¸·Î ÇâÇÏ´Â Ãʱâ(NEW) ÆÐŶÀ» Çã¿ëÇÑ´Ù. #$IPTABLES -A INPUT -i eth0 -p TCP -s 192.168.0.0/24 --sport 1024: --dport 22000 -m state --state NEW -j ACCEPT $IPTABLES -A INPUT -i eth0 -p TCP --sport 1024: --dport 22000 -m state --state NEW -j ACCEPT # SMTP ¼ºñ½º¸¦ Çã¿ëÇϱâ À§ÇØ 25¹øÀ¸·Î ÇâÇÏ´Â Ãʱâ(NEW) ÆÐŶÀº Çã¿ëÇÑ´Ù. # SMTP ¼ºñ½º¸¦ Á¦°øÇÑ´Ù¸é ¿ÜºÎ¿¡¼ µé¾î¿À´Â ¸ÞÀÏÀ» ¼¹ö¿¡¼ ¹Þ¾Æ¾ß ÇÔÀ¸·Î 25¹øÀº ¿·Á ÀÖ¾î¾ßÇÑ´Ù. $IPTABLES -A INPUT -i eth0 -p TCP --sport 1024: --dport 25 -m state --state NEW -j ACCEPT # POP3 ¼ºñ½º¸¦ Çã¿ëÇϱâ À§ÇØ 110¹øÀ¸·Î ÇâÇÏ´Â Ãʱâ(NEW) ÆÐŶÀº Çã¿ëÇÑ´Ù #$IPTABLES -A INPUT -i eth0 -p TCP --sport 1024: --dport 110 -m state --state NEW -j ACCEPT # icmp ÆÐŶ Áß ping ¿äû¿¡ ´ëÇÑ ÀÀ´ä Áï, echo-reply ¸¦ Çã¿ëÇÑ´Ù. $IPTABLES -A INPUT -p ICMP --icmp-type echo-reply -j ACCEPT # INPUT Àº ±âº»ÀûÀ¸·Î DROP ÇÑ´Ù. FORWARD ´Â »ç¿ëÇÒ ÇÊ¿ä°¡ ¾øÀ¸¹Ç·Î ¿ª½Ã ±âº» Á¤Ã¥À¸·Î DROP ÇÑ´Ù. ÇÏÁö¸¸ ·êÀ» ´Ü¼øÈÇϱâ À§ÇØ OUTPUT Àº ACCPET ÇÑ´Ù. $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP |
He who has imagination without learning has wings but no feet.    
|
