欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

# =======================  古公  =======================##  /etc/sysconfig/iptables 文件：### mangle 段*mangle:PREROUTING ACCEPT [0:0]:OUTPUT ACCEPT [0:0]COMMIT### nat 段*nat:PREROUTING ACCEPT [0:0]:POSTROUTING ACCEPT [0:0]:OUTPUT ACCEPT [0:0]### 為使用 SQUID 作“透明代理”而設定！## 沒(méi)有指定 網(wǎng)卡、地址：#[0:0] -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128## 指定 網(wǎng)卡、地址：[0:0] -A PREROUTING -s 192.168.20.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128[0:0] -A PREROUTING -s 192.168.20.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128# 將 對于 80、443 端口的訪(fǎng)問(wèn) 重定向到 3128 端口。###  這些機器可以走這個(gè)機器做網(wǎng)關(guān)上 Internet 網(wǎng)。# 需要在 /etc/sysctl.conf 文件里面修改成 net.ipv4.ip_forward = 1# 或者 echo 1 > /proc/sys/net/ipv4/ip_forward# 由于利用 SQUID 實(shí)現了“透明代理”，Masq 取消相應的客戶(hù)地址。# 這里，只剩下幾個(gè)需要利用“IP偽裝”來(lái)上網(wǎng)的機器（可以上 QQ、雅虎通、msn 之類(lèi)的）：#[0:0] -A POSTROUTING -s 192.168.20.3 -j MASQUERADE[0:0] -A POSTROUTING -s 192.168.20.10 -j MASQUERADE[0:0] -A POSTROUTING -s 192.168.20.32/255.255.255.240 -j MASQUERADE# 若你的 公網(wǎng)的 IP 地址是固定的，使用這個(gè)語(yǔ)句似乎更好些：#[0:0] -A POSTROUTING -s 192.168.20.32/255.255.255.240 -j SNAT --to 211.148.130.133COMMIT### filter 段*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]#### 屏蔽 來(lái)自 microsoft 的站點(diǎn):[0:0] -A INPUT -s 207.46.0.0/255.255.0.0 -j DROP[0:0] -A INPUT -d 207.46.0.0/255.255.0.0 -j DROP## 防止IP欺騙：# 所謂的IP欺騙就是指在IP包中存在著(zhù)不可能的IP源地址或目標地址。# eth1是一個(gè)與外部Internet相連，而192.168.20.0則是內部網(wǎng)的網(wǎng)絡(luò )號，# 也就是說(shuō)，如果有一個(gè)包從eth1進(jìn)入主機，而說(shuō)自己的源地址是屬于# 192.168.20.0網(wǎng)絡(luò )，或者說(shuō)它的目標地址是屬于這個(gè)網(wǎng)絡(luò )的，那么這顯# 然是一種IP欺騙，所以我們使用DROP將這個(gè)包丟棄。[0:0] -A INPUT -d 192.168.20.0/255.255.255.0 -i eth1 -j DROP[0:0] -A INPUT -s 192.168.20.0/255.255.255.0 -i eth1 -j DROP## 同樣的，如果有包要通過(guò)eth1向Internet，而且它的源地址或目標地址是屬于# 網(wǎng)絡(luò )192.168.20.0，那么顯然也是不可能的。我們仍然使用DROP將它丟棄。[0:0] -A OUTPUT -d 192.168.20.0/255.255.255.0 -o eth1 -j DROP[0:0] -A OUTPUT -s 192.168.20.0/255.255.255.0 -o eth1 -j DROP## 防止廣播包從IP代理服務(wù)器進(jìn)入局域網(wǎng)：[0:0] -A INPUT -s 255.255.255.255 -i eth0 -j DROP[0:0] -A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP[0:0] -A INPUT -d 0.0.0.0 -i eth0 -j DROP# 當包的源地址是255.255.255.255或目標地址是0.0.0.0，則說(shuō)明它是一個(gè)# 廣播包，當廣播包想進(jìn)入eth0時(shí)，我們就應該DENY，丟棄它。而240.0.0.0/3# 則是國際標準的多目廣播地址，當有一個(gè)源地址是屬于多目廣播地址的包，# 我們將用DROP策略，丟棄它。### 屏蔽 windows xp 的 5000 端口（這個(gè)端口是莫名其妙的 ?。0:0] -A INPUT -p tcp -m tcp --sport 5000 -j DROP[0:0] -A INPUT -p udp -m udp --sport 5000 -j DROP[0:0] -A OUTPUT -p tcp -m tcp --dport 5000 -j DROP[0:0] -A OUTPUT -p udp -m udp --dport 5000 -j DROP# 原來(lái)是用來(lái)跑 vpn 的，呵呵，我誤解了。### 防止 Internet 網(wǎng)的用戶(hù)訪(fǎng)問(wèn) SAMBA 服務(wù)器：[0:0] -A INPUT -s 211.148.130.129 -i eth1 -p udp -m udp --dport 137:139 -j DROP[0:0] -A INPUT -s 192.168.20.0/255.255.255.0 -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT[0:0] -A INPUT -s 211.148.130.128/255.255.255.240 -i eth1 -p udp -m udp --dport 137:139 -j ACCEPT[0:0] -A INPUT -p udp -m udp --dport 137:139 -j DROP### 對于本局域網(wǎng)用戶(hù)不拒絕訪(fǎng)問(wèn)：[0:0] -A INPUT -s 192.168.20.0/255.255.255.0 -i eth0 -p tcp -j ACCEPT[0:0] -A INPUT -s 192.168.20.0/255.255.255.0 -i eth0 -p udp -j ACCEPT##[0:0] -A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP[0:0] -A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP##[0:0] -A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP## 防止 Internet 用戶(hù)訪(fǎng)問(wèn) SQUID 的 3128 端口：[0:0] -A INPUT -s 211.148.130.129 -i eth1 -p tcp -m tcp --dport 3128 -j DROP[0:0] -A INPUT -s 192.168.20.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT[0:0] -A INPUT -s 211.148.130.128/255.255.255.240 -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT[0:0] -A INPUT -p tcp -m tcp --dport 3128 -j DROP## 讓人家 ping 不通我 ！[0:0] -A INPUT -i eth1 -s 192.168.30/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT[0:0] -A INPUT -i eth1 -s 211.148.130.128/28 -p icmp -m icmp --icmp-type 8 -j ACCEPT[0:0] -A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j DROP## 限制ping包每一秒鐘一個(gè)，10個(gè)后開(kāi)始[0:0] -A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT## 限制IP碎片，每秒鐘只允許100個(gè)碎片，用來(lái)防止DoS攻擊[0:0] -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT##COMMIT# ======================= 結束 =======================# ======================= 古公 =======================