Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1512566
  • 博文数量: 297
  • 博客积分: 10010
  • 博客等级: 上将
  • 技术积分: 3082
  • 用 户 组: 普通用户
  • 注册时间: 2007-02-07 11:36
文章分类

全部博文(297)

文章存档

2011年(1)

2009年(45)

2008年(67)

2007年(184)

我的朋友

分类: LINUX

2007-09-11 13:26:08

通过以上个步骤,我们建立了一个相对完整的防火墙。只对外开放了有限的几个端口,同时提供了客户对Internet的无缝访问,并且对ip碎片攻击和icmpping
of
death
提供了有效的防护手段。以下是完整的脚本文件内容,希望通过这个实例能是对iptables的用法有所了解:

#!/bin/sh

echo "Starting iptables rules..."

#Refresh all chains

/sbin/iptables -F

###########################Define HTTP packets####################################

#Allow www request packets from Internet clients to www servers
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.11 --dport www -i eth0 -j
ACCEPT

############################Define FTP packets#####################################

#Allow ftp request packets from Internet clients to Intranet ftp server
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.12 --dport ftp -i eth0 -j
ACCEPT

###########################Define smtp packets####################################
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.13 --dport smtp -i eth0 -j
ACCEPT

#############Define packets from Internet server to Intranet#######################
/sbin/iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 198.168.80.0/24 -i
eth0 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d 198.168.80.0/24 ! -syn -i eth0 -j ACCEPT
/sbin/iptables -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT

#############Define packets from Intranet to Internet###############
/sbin/iptables -A FORWARD -s 198.168.80.0/24 -i eth1 -j ACCEPT

##################Define fregment rule#############/sbin/iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j
ACCEPT

#####################Define icmp rule###################
/sbin/iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j
ACCEPT

五、 iptablesipchains的区别

  ·iptables的缺省链的名称从小写换成大写,并且意义不再相同:INPUTOUTPUT分别放置对目的地址是本机以及本机发出的数据包的过虑规则。
  ·-i选项现在只代表输入网络接口,输入网络接口则使用-o选项。
  ·TCPUDP端口现在需要用--source-port--sport(或--destination-port/--dport)选项拼写出来并且必须置于"-p
tcp"
"-p udp"选项之后,因为它们分别是载入TCPUDP扩展的。
  ·以前TCP"-y"标志现在改为"--syn",并且必须置于"-p tcp"之后。
  ·原来的DENY目标最后改为了DROP
  ·可以在列表显示单个链的同时将其清空。
  ·可以在清空内建链的同时将策略计数器清零。
  ·列表显示链时可显示计数器的当前瞬时值。
  ·REJECTLOG现在变成了扩展目标,即意味着它们成为独立的内核模块。
  ·链名可以长达31个字符。
  ·MASQ现在改为MASQUERADE,并且使用不同的语法。REDIRECT保留原名称,但也改变了所使用的语法。

iptables实现NAT

摘要
  本文是iptales实现包过虑型防火墙的姊妹篇,主要介绍如何使用iptbales实现linux2.4下的强大的NAT功能。关于iptables的详细语法请参考iptales实现包过虑型防火墙一文。需要申明的是,本文绝对不是NAT-HOWTO的简单重复或是中文版,在整个的叙述过程中,作者都在试图用自己的语言来表达自己的理解,自己的思想
阅读(1253) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~