iptables使用实例(3)-Mozer-ChinaUnix博客

Mozer--沙落满地

首页　| 　博文目录　| 　关于我

mozer

博客访问： 1456258
博文数量： 297
博客积分： 10010
博客等级：上将
技术积分： 3082
用户组：普通用户
注册时间： 2007-02-07 11:36

文章分类

全部博文（297）

Virtual（1）

Vmware（1）
DATABASE（1）

ORACLE（1）
Job Course（1）
Windows（1）
Programming（16）

C++（1）

Python（7）

TCL（5）

Perl socket（1）

Perl（1）

securty（1）
Essay（2）
HardWare（2）

HardDisk（0）

Audio（0）

VGA（1）

CPU（1）
Linux（267）

JBoss（1）

LDAP（0）

SVN（1）

FTP（2）

bind（1）

Linux-HA（7）

yum（2）

CVS（5）

LVS（6）

Server（0）

Snort（1）

SecurityTools（0）

nmap（1）

awk（0）

文本处理（1）

xml（1）

经验总结（1）

protection（1）

pretend（3）

Attack（5）

Iptables（36）

SElinux（2）

OpenVPN（0）

Sercurity（0）

Mysql（0）

Apache（1）

php+mysql（5）

Unite-Study（0）

SSH（3）

Optimization（1）

sed（0）

vim（1）

FS（0）

File SYStem（0）

individuation（2）

RPMs（2）

小技巧（3）

ftp（2）

例子（5）

linux 审计（3）

合格Linux 管理员（10）

Shell 实战（0）

Expect（3）

study note（3）

experience（1）

tools（8）

example（1）

基本概念（8）

shell编程（18）

命令详解（37）

Tools（3）

skill（3）

System Integrati（6）

LDAP应用及实例（1）

EthNet App（0）

SecurExam（1）

Study Home（8）

kernel（2）

RAID（1）

Shell 片段（4）

Job（2）

Regular Exdivssi（5）

Operations（3）

Basic（0）

Skill（26）

LVM（2）

Squid（4）

Mail（1）
未分配的博文（6）

文章存档

2011年（1）

2009年（45）

2008年（67）

2007年（184）

我的朋友

相关博文

iptables使用实例(3)

分类： LINUX

2007-09-11 13:26:08

通过以上个步骤，我们建立了一个相对完整的防火墙。只对外开放了有限的几个端口，同时提供了客户对Internet的无缝访问，并且对ip碎片攻击和icmp的ping
of
death提供了有效的防护手段。以下是完整的脚本文件内容，希望通过这个实例能是对iptables的用法有所了解：

#!/bin/sh

echo "Starting iptables rules..."

#Refresh all chains

/sbin/iptables -F

###########################Define HTTP packets####################################

#Allow www request packets from Internet clients to www servers
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.11 --dport www -i eth0 -j
ACCEPT

############################Define FTP packets#####################################

#Allow ftp request packets from Internet clients to Intranet ftp server
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.12 --dport ftp -i eth0 -j
ACCEPT

###########################Define smtp packets####################################
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.13 --dport smtp -i eth0 -j
ACCEPT

#############Define packets from Internet server to Intranet#######################
/sbin/iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 198.168.80.0/24 -i
eth0 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.0/24 ! -syn -i eth0 -j ACCEPT
/sbin/iptables -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT

#############Define packets from Intranet to Internet###############
/sbin/iptables -A FORWARD -s 198.168.80.0/24 -i eth1 -j ACCEPT

##################Define fregment rule#############/sbin/iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j
ACCEPT

#####################Define icmp rule###################
/sbin/iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j
ACCEPT

五、 iptables与ipchains的区别

　　·iptables的缺省链的名称从小写换成大写，并且意义不再相同：INPUT和OUTPUT分别放置对目的地址是本机以及本机发出的数据包的过虑规则。
　　·-i选项现在只代表输入网络接口，输入网络接口则使用-o选项。
　　·TCP和UDP端口现在需要用--source-port或--sport（或--destination-port/--dport）选项拼写出来并且必须置于"-p
tcp"或"-p udp"选项之后，因为它们分别是载入TCP和UDP扩展的。
　　·以前TCP的"-y"标志现在改为"--syn"，并且必须置于"-p tcp"之后。
　　·原来的DENY目标最后改为了DROP。
　　·可以在列表显示单个链的同时将其清空。
　　·可以在清空内建链的同时将策略计数器清零。
　　·列表显示链时可显示计数器的当前瞬时值。
　　·REJECT和LOG现在变成了扩展目标，即意味着它们成为独立的内核模块。
　　·链名可以长达31个字符。
　　·MASQ现在改为MASQUERADE，并且使用不同的语法。REDIRECT保留原名称，但也改变了所使用的语法。

用iptables实现NAT

摘要
　　本文是“用iptales实现包过虑型防火墙”的姊妹篇，主要介绍如何使用iptbales实现linux2.4下的强大的NAT功能。关于iptables的详细语法请参考“用iptales实现包过虑型防火墙”一文。需要申明的是，本文绝对不是NAT-HOWTO的简单重复或是中文版，在整个的叙述过程中，作者都在试图用自己的语言来表达自己的理解，自己的思想

阅读(1219) | 评论(0) | 转发(0) |

上一篇：iptables使用实例(2)

下一篇：IPTABLES包过滤防火墙实现

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6