Chinaunix首页 | 论坛 | 博客

Fondpiggy

首页 |  博文目录 |  关于我

fondpiggy

  • 博客访问: 35565
  • 博文数量: 8
  • 博客积分: 1456
  • 博客等级: 上尉
  • 技术积分: 122
  • 用 户 组: 普通用户
  • 注册时间: 2010-01-09 14:10
文章分类

全部博文(8)

文章存档

2012年(1)

2011年(1)

2010年(6)

我的朋友
最近访客
推荐博文
相关博文
用linux做透明网关实例

分类: LINUX

2010-03-26 09:02:05

由于公司固定IP地址不多,业务应用又经常在更改。 导致我需要经常上公司防火墙修改访问策略。 总是感觉太烦,同时也不是很安全。 由于在防火墙内部的一台linux主机上添加了透明网关。 这台主机可以让用户(也是linux专家哦,不是菜鸟)自己上来修改端口对应关系。 这样省了不好管理上的事。

1. 当访问一个主机172.18.8.118:8001时, 实际上是访问172.18.8.97:80
所以在172.18.8.118上做了nat设置。详细见下

2. 当然你得打开ip forwarding 功能

echo 1 > /proc/sys/net/ipv4/ip_forward


3. 注意: 在filter FORWARD表中要允许80端口转发的。 要不,被filter FORWARD表当住了。 就不会转发了。 这个问题浪费我大量时间啊


/etc/sysconfig/iptables 内容

# Generated by iptables-save v2.3.5 on Mon Feb 23 13:06:32 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5890532:654763945]
:RH-Firewall-1-INPUT - [0:0]
:RH-Firewall-1-FORWARD - [0:0]
-A INPUT -s 172.18.8.0/255.255.254.0 -i eth0 -j ACCEPT
-A INPUT -s 172.18.32.19 -i eth0 -j ACCEPT
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-FORWARD
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

-A RH-Firewall-1-FORWARD -p tcp -m multiport --dport 80,8080 -j ACCEPT

COMMIT
# Completed on Mon Feb 23 13:06:32 2009
# Generated by iptables-save v1.3.5 on Mon Feb 23 13:06:32 2009
*nat
:PREROUTING ACCEPT [6862990:2311077675]
:POSTROUTING ACCEPT [121112:7273797]
:OUTPUT ACCEPT [121112:7273797]

# for tilu dilian system, applyed by yang guanjin  expiration date: 2009-03-23
-A PREROUTING -d 172.18.8.118 -p tcp -m tcp --dport 8001 -j DNAT --to-destination 172.18.9.220:80
-A POSTROUTING -d 172.18.9.220 -p tcp --dport 80 -j SNAT --to-source 172.18.8.118

# for XCloud system, applyed by Roy Niu  expiration date: 2009-08-6
-A PREROUTING -d 172.18.8.118 -p tcp -m tcp --dport 8805 -j DNAT --to-destination 172.18.9.195:8080
-A POSTROUTING -d 172.18.9.195 -p tcp --dport 8080 -j SNAT --to-source 172.18.8.118

阅读(1633) | 评论(0) | 转发(0) |
0

上一篇:家家都有电话交换机不是梦

下一篇:系统负载的常用命令

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6