#!/bin/sh
#---iptables
INET_IP=`ifconfig | grep 'inet ' | grep -v '127.0.0.1' | awk -F ' ' '{print $2}'| awk -F':' '{print $2}'` //获取本机IP
LO_IFACE="lo"
LO_IP="127.0.0.1"
IPTABLES="/sbin/iptables" //定义iptables路径
/sbin/depmod -a //以下几项为开启iptables的各种模块
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_state
$IPTABLES -P INPUT ACCEPT //定于INPUT为开放状态
$IPTABLES -P OUTPUT ACCEPT //定于OUTPUT为开放状态
$IPTABLES -P FORWARD ACCEPT //定于FORWARD为开放状态
$IPTABLES -N bad_tcp_packets //自定义一个 bad_tcp_packets组 以下同
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset //丢弃坏包
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP //丢弃坏包
$IPTABLES -A allowed -p TCP --syn -j ACCEPT //这3条顺序很重要 允许初始连接通过
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT //允许ESTABLISHED,RELATED状态的包通过
$IPTABLES -A allowed -p TCP -j DROP 拒绝所有包
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed //允许TCP 80 通过,下同,根据自己环境添加相关端口
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 5166 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 3301 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 813 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 2213 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 33885 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 -j DROP
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 161 -j ACCEPT //允许UDP 161端口 通过,根据自己环境添加相关端口
$IPTABLES -A udp_packets -p UDP -s 0/0 -j DROP
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT //ICMP的相关项,各个数字代表什么可以google下
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 -j DROP
$IPTABLES -A INPUT -p TCP -j bad_tcp_packets //一个连接包新进来先通过bad_tcp_packets检测判断是否为坏包
$IPTABLES -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT //状态为ESTABLISHED,RELATED 的包则通过
$IPTABLES -A INPUT -p TCP -m tcp --dport 30000:50000 --syn -j ACCEPT //3W-5W的端口可以通过,这个是为了配合FTP的,可以不要
$IPTABLES -A INPUT -p TCP -j tcp_packets //最后用过 tcp_packets 这个组来判断是否让包通过
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT //lo本地的全部通过
$IPTABLES -A INPUT -p UDP -j tcp_packets //UDP包发送到 tcp_packets 组检测
$IPTABLES -A INPUT -p ICMP -j icmp_packets //ICMP 发送到 icmp_packets 组检测
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets //OUTPUT出去的包先通过bad_tcp_packets判断是否为坏包
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT //LO出去的全部通过
$IPTABLES -A OUTPUT -p ALL -j ACCEPT //不是坏包就允许出去