科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道简释iptables防火墙(2)

简释iptables防火墙(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一般LINUX防火墙(iptalbes)的运用无非是用nat 表(PREROUTING、OUTPUT、POSTROUTING)和filter表 (FORWARD、INPUT、OUTPUT)。我们只有知道了数据的流向才能正确的配置防火墙。

作者:51CTO.COM 2007年11月9日

关键字: 局域网 防火墙 iptables NAT

  • 评论
  • 分享微博
  • 分享邮件

  假设SSH采用默认端口TCP 22 。此要求相当于要进我的家的TCP 22号门,为此我们首先要进我家院子,然后再进我家门,最后走出我家门这 样的过程。此操作是征对服务器本身的操作。

  -A PREROUTING –p tcp --dport 22 –j ACCEPT

  -A INPUT –p tcp --dport 22 –j ACCEPT

  -A OUTPUT –p tcp --sport 22 –j ACCEPT

  3、 允许内网机器可以登录MSN和QQ。

  (MSN和QQ默认是不允许登录的)QQ一般来说可以从TCP 80、8000、443及UDP 8000、4000登录,而MSN可以从TCP 1863、443登录。我们登录 MSN和QQ的过程就象上网一样,也是去访问远程服务器的指定端口,故而我们只用数据转发即可。

  -A PREROUTING –p tcp --dport 1863 –j ACCEPT

  -A PREROUTING –p tcp --dport 443 –j ACCEPT

  -A PREROUTING –p tcp --dport 8000 –j ACCEPT

  -A PREROUTING –p udp --dport 8000 –j ACCEPT

  -A PREROUTING –p udp --dport 4000 –j ACCEPT

  -A FORWARD –p tcp --dport 1863 –j ACCEPT

  -A FORWARD –p tcp --sport 1863 –j ACCEPT

  -A FORWARD –p tcp --dport 443 –j ACCEPT

  -A FORWARD –p tcp --sport 443 –j ACCEPT

  -A FORWARD –p tcp --dport 8000 –j ACCEPT

  -A FORWARD –p tcp --sport 8000 –j ACCEPT

  -A FORWARD –p udp --dport 8000 –j ACCEPT

  -A FORWARD –p udp --sport 8000 –j ACCEPT

  -A FORWARD –p udp --dport 4000 –j ACCEPT

  -A FORWARD –p udp --sport 4000 –j ACCEPT

  4、 让内网机器可以收发邮件。

  接收邮件是访问远程服务器的TCP 110端口,发送邮件是访问TCP25端口。用数据转发即可。

  -A PREROUTING –p tcp --dport 110 –j ACCEPT

  -A PREROUTING –p tcp --dport 25 –j ACCEPT

  -A FORWARD –p tcp --dport 110 –j ACCEPT

  -A FORWARD –p tcp --sport 110 –j ACCEPT

  -A FORWARD –p tcp --dport 25 –j ACCEPT

  -A FORWARD –p tcp --sport 25 –j ACCEPT

  5、 内部机器对外发布WEB。

  要把内网机器192.168.5.179的WEB对外发布的话,相当于是从外网访问内网。与第1步操作的局域网共享上网相同,只是访问的方向改变了。 不是从内网访问外网,而是从外网访问内网。

  当公网访问服务器218.100.100.111时,防火墙把它映射到内网的192.168.5.179的TCP80上。当内网机器访问服务器218.100.100.111时,防 火墙把它映射到内网的192.168.5.179的TCP80上。

  -A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT --to-destination 192.168.5.179:80

  -A PREROUTING –i eth1 –p tcp –d 218.100.100.111 –dport 80 –j DNAT --to-destination 192.168.5.179:80

  (以上两句必须写在 –A PREROUTING –p tcp --dport 80 –j ACCEPT 前面。)

  TCP 80端口的转发在第1步就已做过,此处就不用重复制作了。另外在

  -A POSTROUTING –s 192.168.5.0/24 –j SNAT --to 218.100.100.111 之后加上一句:

  -A POSTROUTING –o eth1 –s 0/0 –j SNAT --to 192.168.5.1

  为什么要加这句话呢,我的理解是这样的,

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号