科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道netfilter/iptables的防火墙环境(3)

netfilter/iptables的防火墙环境(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Netfilter是Linux核心中一个通用架构,用于扩展各种服务的结构化底层服务。它提供一系列的表(tables),每个表由若干链(chains)组成,而每条链中可以由一条或数条规则(rule)组成。

作者:51CTO.COM 2007年11月11日

关键字: 防火墙 Linux iptables 环境 Netfilter

  • 评论
  • 分享微博
  • 分享邮件

  # ifconfig eth2 192.168.2.1 netmask 255.255.255.0

  - 5 -

  编辑/etc/sysconfig/network-scripts/ifcfg-eth2文件

  DEVICE = eth2

  ONBOOT = yes

  BROADCAST = 192.168.2.255

  NETWORK = 192.168.2.0

  NETMASK = 255.255.255.0

  IPADDR = 192.168.2.1

  增加一条静态路由:

  # route add -net 192.168.2.0 netmask 255.255.255.0

  这样网络中就有三条静态路由记录了:

  # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface

  218,197.93.115 *255.255.255.0U 0 0 0 eth0

  192.168.1.0*255.255.255.0U 0 0 0 eth1

  192.168.2.0*255.255.255.0U 0 0 0 eth2

  还要为系统增加一条缺省路由,因为缺省的路由是把所有的数据包都发往它的上一级网关,因此增加如下的缺省路由记录:

  # route add default gw 218.197.93.254

  这样系统的静态路由表建立完成,它的内容是

  # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface

  218,197.93.115 *255.255.255.0U 0 0 0 eth0

  192.168.1.0*255.255.255.0U 0 0 0 eth1

  192.168.2.0*255.255.255.0U 0 0 0 eth2

  default218.197.93.254 0.0.0.0 UG 0 0 0 eth0

  二>在C上开启www,ftp服务:

  #service httpd start

  #service vsftpd start

  三>在防火墙上初始化设置

  ◆防火墙上初始化

  #service iptables stop

  #iptables -F

  #iptables -t nat -F

  #iptables -X

  #iptables -t nat -X

  #iptables -Z

  #iptables -t nat -Z

  #iptables -P INPUT DROP

  #iptables -P OUTPUT DROP

  #iptables -P FORWARD DROP

  #iptables -t nat -P POSTROUTING DROP

  #service iptables start

  ◆最后一步,要增加系统的IP转发功能,执行如下命令打开ip转发功能:

  echo 1 >/proc/sys/net/ipv4/ip_forward

  四>在防火墙上实现端口地址映射:

  ◆允许A机器访问WAN

  iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -j ACCEPT

  ◆A往C的包都允许

  iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -i eth2 -j ACCEPT

  ◆WAN往A的包都不允许

  iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 192.168.2.0/24 -i eth0 -j DROP

  ◆允许WAN向内部发送已建立连接的包和相关连接的包。

  iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 218.197.93.115

  ◆允许WAN发往www,ftp服务器的包并把对网关的www,ftp请求转发到内部的www,ftp服务器上。

  #iptables -t nat -A PREROUTING -p tcp --dport 80 -d 218.197.93.115 -s 0.0.0.0/0 -i eth0 -j DNAT --to 192.168.1.2

  #iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.1.2 -i eth0 --dport 80 -j ACCEPT

  #iptables -A FORWARD -p tcp -d 0.0.0.0/0 -s 192.168.1.2 -i eth1 --sport 80 ! --syn -j ACCEPT

  #iptables -t nat -A PREROUTING -p tcp --dport 20,21 -d 218.197.93.115 -s 0.0.0.0/0 -i eth0 -j DNAT --to 192.168.1.2

  #iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.1.2 -i eth0 --dport 20,21 -j ACCEPT

  #iptables -A FORWARD -p tcp -d 0.0.0.0/0 -s 192.168.1.2 -i eth1 --sport 20,21 ! --syn -j ACCEPT

  #iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 192.168.1.0/24 -i eth0 -j DROP

  C不能访问A,B

  iptables -A FORWARD -s 192.168.1.0/24 –d 0.0.0.0/0 -i eth1 -j DROP

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章