Sign in Subscribe
configuration

Higuma's Web iptable NAS DNAT sample

iptables の機能
(1)パケットフィルタリング
(2)NAT機能(NAPTやDNATも可)

ウチのD(default)GWにおける設定
・GWのマシンを本来使うため、完全にルータ化することはない。(そのため、OUTPUTはACCEPTである。)
・内部のマシンもNAPTによって、通信させるようにするが、敢えて制限はかけない。フィルタリングは内部マシンにさせる
 

#
#	2003/4/14
#

#!/bin/bash


#Initialized

iptables -F
iptables -F -t nat

#Default Policy
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
#iptables -P OUTPUT DROP <- (this machine is router only)

#Loop Back ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

#Internet -> Gateway(ppp0) (Private IP address) DROP
iptables -A INPUT -i ppp0 -d 10.0.0.0/8 -j DROP
iptables -A INPUT -i ppp0 -d 172.16.0.0/12 -j DROP
iptables -A INPUT -i ppp0 -d 192.168.0.0/16 -j DROP

#22(SSH) OPEN
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

#23(TELNET) OPEN -> only eth0 Only
iptables -A INPUT -i eth0 -p tcp --syn -m limit --limit 1/s --dport 23 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 23 -m state --state ESTABLISHED -j ACCEPT

#139(Samba) OPEN -> eth0 Only
iptables -A INPUT -i eth0 -p tcp --syn -m limit --limit 1/s --dport 139 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 139 -m state --state ESTABLISHED -j ACCEPT

#PROTECTED PING OF DEATH
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#BROADCAST Packet DROP
iptables -A INPUT -d 255.255.255.255 -j DROP

#Connect Back Packet ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT



#Default Policy
iptables -P FORWARD ACCEPT

# Fowarding 
echo "1" > /proc/sys/net/ipv4/ip_forward

#IP MASQUERADE Configure
iptables -A POSTROUTING -t nat -j MASQUERADE

#Internet -> LAN(eth0) (Private IP address) DROP
iptables -A FORWARD -i eth0 -d 10.0.0.0/8 -j DROP
iptables -A FORWARD -i eth0 -d 172.16.0.0/12 -j DROP
iptables -A FORWARD -i eth0 -d 192.168.0.0/16 -j DROP

#DNAT Configure
#ipbales -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2
#

Read next

2024年 3月30日 14屆美利達環彰化百K

2024年 3月30日 14屆美利達環彰化百K

這是場半小時就被秒報名額滿的經典賽事, 能順利出賽實屬隊友的功勞, 這次的準備工作想試試新買的外胎, 因為是無內胎用的外胎, 特別緊超級難安裝的, 問了其他朋友才知道, 要沾上肥皂水才容易滑入車框。 一早四點起床準備, 五點集合備好咖啡在車上飲用, 約了六點在彰化田尾鄉南鎮國小, 整好裝四人一起出發前往會場。 被排在最後一批出發, 這次的路線會繞行的員林148上139縣道, 其實在早上五點多天就開始有點飄雨, 大伙就開始擔心不會要雨戰吧! 果不其然才出發準備上148爬坡雨勢越來越大, 戴著防風眼鏡的我在身體的熱氣加上雨水冷凝效果下, 鏡面上滿是霧氣肉眼可視距離才剩不到五公尺, 只能緊依前前方的車友幫忙開路, 之後洪大跟上來我立馬請求他幫忙開路, 上了139停下車把防風眼鏡收起來, 反正下雨天又陰天完全用不到太陽眼鏡了。 雨是邊下邊打雷, 大伙都在這條139上一台一台單車好像避電針, 一時有點害怕不然想平時沒做什麼壞事, 真打到自己就是天意了。 下了139雨勢開始變小, 大伙的速度開始有所提昇, 開高鐵列車的時機己成熟, 物色好列車就跟好跟滿。 最後找了一隊似乎整團有固定在練
Phillips Hsieh
2023 12月9號 美利達單車嘉年華

2023 12月9號 美利達單車嘉年華

第二次參加美利達環南投賽事, 還記得去年第一次參加這美利達環南投, 還特地提前一天跟車友在魚池住了一晚。 這回用上了剛在7月份剛安裝的車頂架, 安裝了二種不同的攜車架, 都樂這邊可以不用拆車輪直上車頂, YAKIMA這邊選了經濟的款式, 折掉前輪利用前叉固定在攜車架上。 約了唯一一位一起參加的朋友, 二人一早四點約見面, 幫朋友帶上了拿鐵咖啡, 開上日月潭在水社碼頭停好車, 騎往向山遊客中心, 路過美麗的日月潭簡直不要太美了拍一張。 抵達會場己是人山人海了, 跟著大伙排隊順便也看網紅也欣賞名車。 出發就先沿著日月潭順時針騎, 騎到玄裝寺很急停下來上一下廁所, 比賽時都會尿都特別的滿, 一方面是比較緊張,一方面是特別興奮。 這時己經跟車友失散了, 只能獨推沿路看有沒有車友可以一起組隊的, 很可惜在山區大家的實力不一只求平安順騎了, 原則就是有補給就停有食物就吃。 下到水里人群再次聚集起來, 光等紅綠燈就是一條車龍。 騎行了一大圈水里再回到131縣道, 這時背後傳來熟悉的聲音叫菲哥, 終於跟車友重新集合接下來就一路邊聊邊騎。 最後來幾張專業攝影師拍攝的照片 回到終點台上
Phillips Hsieh

2024 自組Gravel Bike記錄

故事的問始要從農曆年過年初二,安頓好二個孩子放飛自己一人騎公路車TCR1沿台三線北上會經過苗栗、新竹、桃園、新北、然到抵台北巿大稻程碼頭找老同事述舊。 結果就在初三從新竹火車站旅店出發在快到約定的地點"大稻程碼頭",變速時把手把給弄斷了,心裡一想這車也算是經歷了二任車主的操練是時候讓它退居第二線了,是時候該來物色未來十年的主力車了,希望是結合速度與旅行的全能車種如Gravel Bike礫石車。 但舊的TCP1因為保養良好還能正常騎行,利用剩下的年假假期,把之前在淘X買的藍圖R7十速煞變把給換上TCR1,更換變速線時發現位於五通導線座早就破裂沒功能了,導致變速線在車架上磨擦,這也就是我前變時不時失靈的主因,車子真的不能太久沒大保養,緊急在露X找到大里的賣家可能有可用的導線座,一次買了二種不同型號的來試,運氣不錯可以跟Look車架的五通導線座相容,只要剪掉多出來的一小段就能完美安裝上TCR1,隔天就試騎大肚山,上下坡變速煞車還滿順暢。 回到挑選新車上,經過這次二天一夜的輕量bike packing騎旅,跟早些年重裝去環島的感覺很不一樣,除了非常必要的個人物品外,沒有帶任何多餘的重量,
Phillips Hsieh