Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1365560
  • 博文数量: 632
  • 博客积分: 2778
  • 博客等级: 大尉
  • 技术积分: 3387
  • 用 户 组: 普通用户
  • 注册时间: 2012-05-31 09:09
个人简介

123

文章分类

全部博文(632)

文章存档

2014年(36)

2013年(33)

2012年(563)

分类: LINUX

2012-12-07 20:43:13

iptables防火墙

 
       Linux防火墙使一种功能强大且配置灵活的软件防火墙,既可作为单机防火墙(主要由filter表的INPUT链和OUTPUT链实现其功能。)也可作为局域网的网关式防火墙(主要由filter表的FORWORD链和nat表的PREROUTING和POSTROUTING链实现其功能。)
       这次试验简单模拟一个不提供网络服务,但需要上网的小公司,怎样实现ip共享上网和安全连接因特网。防火墙脚本设置如下
 
#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
#jiazai
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
#chushihua
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
#morencelie
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
#SHEZHIGUIZE
//开启SSH连接
iptables -A OUTPUT -m state --state established,related -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -s 192.168.99.100 -j ACCEPT
#iptables -A OUTPUT  -o eth0 -p tcp --sport 22 -d 192.168.99.100 -j ACCEPT
//开启WEB连接和地址转换
iptables -A FORWARD -m state --state established,related -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -s 192.168.99.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.99.0/24 -j SNAT --to 172.16.0.1
#iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport 80 -d 192.168.99.0/24 -j ACCEPT
 
 
        由于本人技术和精力有限,这次试验不能完全模拟现实网络,例如,这次试验没有dns,局域网内的客户机不能用域名而要用ip地址访问我的“外网”web,在现实的网络世界,就可以设置当地的dns提供商。还有就是,我把虚拟机连接外网的网卡禁用了,使用的“仅主机”和vnet2网络,所以我的试验环境完全是封闭式的,以后到了工作单位,说我的试验不能实现其功能,那就要你自己想想为什么了。
 

阅读(723) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~