至顶网›网络频道 ›netfilter/iptables的防火墙环境(3)

netfilter/iptables的防火墙环境(3)

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

Netfilter是Linux核心中一个通用架构，用于扩展各种服务的结构化底层服务。它提供一系列的表（tables），每个表由若干链（chains）组成，而每条链中可以由一条或数条规则（rule）组成。

作者：51CTO.COM 2007年11月11日

关键字：防火墙 Linux iptables 环境 Netfilter

　　# ifconfig eth2 192.168.2.1 netmask 255.255.255.0

　　- 5 -

　　编辑/etc/sysconfig/network-scripts/ifcfg-eth2文件

　　DEVICE = eth2

　　ONBOOT = yes

　　BROADCAST = 192.168.2.255

　　NETWORK = 192.168.2.0

　　NETMASK = 255.255.255.0

　　IPADDR = 192.168.2.1

　　增加一条静态路由：

　　# route add -net 192.168.2.0 netmask 255.255.255.0

　　这样网络中就有三条静态路由记录了：

　　# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface

　　218,197.93.115 *255.255.255.0U 0 0 0 eth0

　　192.168.1.0*255.255.255.0U 0 0 0 eth1

　　192.168.2.0*255.255.255.0U 0 0 0 eth2

　　还要为系统增加一条缺省路由，因为缺省的路由是把所有的数据包都发往它的上一级网关，因此增加如下的缺省路由记录：

　　# route add default gw 218.197.93.254

　　这样系统的静态路由表建立完成，它的内容是

　　# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface

　　218,197.93.115 *255.255.255.0U 0 0 0 eth0

　　192.168.1.0*255.255.255.0U 0 0 0 eth1

　　192.168.2.0*255.255.255.0U 0 0 0 eth2

　　default218.197.93.254 0.0.0.0 UG 0 0 0 eth0

　　二>在C上开启www,ftp服务：

　　#service httpd start

　　#service vsftpd start

　　三>在防火墙上初始化设置

　　◆防火墙上初始化

　　#service iptables stop

　　#iptables -F

　　#iptables -t nat -F

　　#iptables -X

　　#iptables -t nat -X

　　#iptables -Z

　　#iptables -t nat -Z

　　#iptables -P INPUT DROP

　　#iptables -P OUTPUT DROP

　　#iptables -P FORWARD DROP

　　#iptables -t nat -P POSTROUTING DROP

　　#service iptables start

　　◆最后一步，要增加系统的IP转发功能,执行如下命令打开ip转发功能：

　　echo 1 >/proc/sys/net/ipv4/ip_forward

　　四>在防火墙上实现端口地址映射：

　　◆允许A机器访问WAN

　　iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -j ACCEPT

　　◆A往C的包都允许

　　iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -i eth2 -j ACCEPT

　　◆WAN往A的包都不允许

　　iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 192.168.2.0/24 -i eth0 -j DROP

　　◆允许WAN向内部发送已建立连接的包和相关连接的包。

　　iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 218.197.93.115

　　◆允许WAN发往www，ftp服务器的包并把对网关的www,ftp请求转发到内部的www,ftp服务器上。

　　#iptables -t nat -A PREROUTING -p tcp --dport 80 -d 218.197.93.115 -s 0.0.0.0/0 -i eth0 -j DNAT --to 192.168.1.2

　　#iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.1.2 -i eth0 --dport 80 -j ACCEPT

　　#iptables -A FORWARD -p tcp -d 0.0.0.0/0 -s 192.168.1.2 -i eth1 --sport 80 ! --syn -j ACCEPT

　　#iptables -t nat -A PREROUTING -p tcp --dport 20,21 -d 218.197.93.115 -s 0.0.0.0/0 -i eth0 -j DNAT --to 192.168.1.2

　　#iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.1.2 -i eth0 --dport 20,21 -j ACCEPT

　　#iptables -A FORWARD -p tcp -d 0.0.0.0/0 -s 192.168.1.2 -i eth1 --sport 20,21 ! --syn -j ACCEPT

　　#iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 192.168.1.0/24 -i eth0 -j DROP

　　C不能访问A,B

　　iptables -A FORWARD -s 192.168.1.0/24 –d 0.0.0.0/0 -i eth1 -j DROP

VIP专区

VIP用户

普通用户

邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息，那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题

往期文章

netfilter/iptables的防火墙环境(3)

业界热点: