Chinaunix首页 | 论坛 | 博客
  • 博客访问: 26061
  • 博文数量: 6
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 65
  • 用 户 组: 普通用户
  • 注册时间: 2015-04-21 16:41
文章分类
文章存档

2016年(2)

2015年(4)

我的朋友
最近访客

分类: 系统运维

2016-05-30 09:37:08

*raw
-A PREROUTING -p tcp -m tcp --dport 80 -j NOTRACK  
-A OUTPUT -p tcp -m tcp --sport 80 -j NOTRACK  
COMMIT
*filter
:INPUT DROP 
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT 
:RH-Firewall-1-INPUT - [0:0]
:syn-flood - [0:0]
-A INPUT -j RH-Firewall-1-INPUT 
-A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood 
-A INPUT -i eth1 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP 
-A INPUT -i eth1 -p icmp -m limit --limit 3/sec -j LOG --log-prefix "ICMP packet IN:" --log-level 6 
-A INPUT -i eth1 -p icmp -m limit --limit 5/min -j ACCEPT 
-A INPUT -i eth1 -p icmp -j DROP 
-A INPUT -i eth1 -p udp -m udp --sport 53 -m state --state ESTABLISHED -j ACCEPT 
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -i eth0 -p icmp -j ACCEPT 
-A INPUT -i eth0 -j ACCEPT 
-A FORWARD -j RH-Firewall-1-INPUT 
-A FORWARD -m state --state UNTRACKED -j ACCEPT 
-A RH-Firewall-1-INPUT -s 0.0.0.0/255.255.255.0 -j DROP
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT 
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 9999 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT 

-A syn-flood -m limit --limit 1/sec --limit-burst 4 -j RETURN 
-A syn-flood -p tcp -m limit --limit 1/sec --limit-burst 4 -j RETURN 
-A syn-flood -j REJECT --reject-with icmp-port-unreachable 
COMMIT

端口映射:
自建了一个trac+apache集成,建立的时候没有外网访问需求,现在因为一些原因需要添加。原先的80端口现在外网无法访问,所以需要端口映射,
希望可以吧 ip:80映射出去,在外网访时可以使用ip:8085来访问,求应该如何配置。系统是CentOS5
#假设你的为 192.168.1.22 外网 202.102.99.99
修改/etc/sysconfig/iptables添加
-A PREROUTING -d 202.102.99.99 -p tcp --dport 8085 -j DNAT --to-destination 192.168.1.22:8085
 -A POSTROUTING -d 192.168.1.22 -p tcp --dport 8085 -j SNAT --to? 202.102.99.99
这两行不是添加到*filter段而是添加到*nat段如果你的iptables没有nat段,可在第一行之前添加如下内容。
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
这里添加你刚才添加的两行。
COMMIT
连接是双向的。你使用如下规则试下。
iptables -t nat -A PREROUTING -p tcp -i eth0 -d 222.222.100.222  --dport 80 -j DNAT --to-destinaton 192.168.10.20:80
iptables -t nat -A POSTROUTING -p tcp -o eth0 -s 192.168.10.20 --sport 80 -j SNAT --to-source 222.222.100.222:80




阅读(1833) | 评论(0) | 转发(0) |
0

上一篇:iptables使用手册

下一篇:iptables流程原理

给主人留下些什么吧!~~