iptables防火墙
Linux防火墙使一种功能强大且配置灵活的软件防火墙,既可作为单机防火墙(主要由filter表的INPUT链和OUTPUT链实现其功能。)也可作为局域网的网关式防火墙(主要由filter表的FORWORD链和nat表的PREROUTING和POSTROUTING链实现其功能。)
这次试验简单模拟一个不提供网络服务,但需要上网的小公司,怎样实现ip共享上网和安全连接因特网。防火墙脚本设置如下
#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
#jiazai
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
#chushihua
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
#morencelie
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
#SHEZHIGUIZE
//开启SSH连接
iptables -A OUTPUT -m state --state established,related -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -s 192.168.99.100 -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 22 -d 192.168.99.100 -j ACCEPT
//开启WEB连接和地址转换
iptables -A FORWARD -m state --state established,related -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -s 192.168.99.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.99.0/24 -j SNAT --to 172.16.0.1
#iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport 80 -d 192.168.99.0/24 -j ACCEPT
由于本人技术和精力有限,这次试验不能完全模拟现实网络,例如,这次试验没有dns,局域网内的客户机不能用域名而要用ip地址访问我的“外网”web,在现实的网络世界,就可以设置当地的dns提供商。还有就是,我把虚拟机连接外网的网卡禁用了,使用的“仅主机”和vnet2网络,所以我的试验环境完全是封闭式的,以后到了工作单位,说我的试验不能实现其功能,那就要你自己想想为什么了。
阅读(723) | 评论(0) | 转发(0) |