*raw
-A PREROUTING -p tcp -m tcp --dport 80 -j NOTRACK
-A OUTPUT -p tcp -m tcp --sport 80 -j NOTRACK
COMMIT
*filter
:INPUT DROP
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT
:RH-Firewall-1-INPUT - [0:0]
:syn-flood - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -i eth1 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth1 -p icmp -m limit --limit 3/sec -j LOG --log-prefix "ICMP packet IN:" --log-level 6
-A INPUT -i eth1 -p icmp -m limit --limit 5/min -j ACCEPT
-A INPUT -i eth1 -p icmp -j DROP
-A INPUT -i eth1 -p udp -m udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A FORWARD -j RH-Firewall-1-INPUT
-A FORWARD -m state --state UNTRACKED -j ACCEPT
-A RH-Firewall-1-INPUT -s 0.0.0.0/255.255.255.0 -j DROP
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 9999 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A syn-flood -m limit --limit 1/sec --limit-burst 4 -j RETURN
-A syn-flood -p tcp -m limit --limit 1/sec --limit-burst 4 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT
端口映射:
自建了一个trac+apache集成,建立的时候没有外网访问需求,现在因为一些原因需要添加。原先的80端口现在外网无法访问,所以需要端口映射,
希望可以吧 ip:80映射出去,在外网访时可以使用ip:8085来访问,求应该如何配置。系统是CentOS5
#假设你的为 192.168.1.22 外网 202.102.99.99
修改/etc/sysconfig/iptables添加
-A PREROUTING -d 202.102.99.99 -p tcp --dport 8085 -j DNAT --to-destination 192.168.1.22:8085
-A POSTROUTING -d 192.168.1.22 -p tcp --dport 8085 -j SNAT --to? 202.102.99.99
这两行不是添加到*filter段而是添加到*nat段如果你的iptables没有nat段,可在第一行之前添加如下内容。
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
这里添加你刚才添加的两行。
COMMIT
连接是双向的。你使用如下规则试下。
iptables -t nat -A PREROUTING -p tcp -i eth0 -d 222.222.100.222 --dport 80 -j DNAT --to-destinaton 192.168.10.20:80
iptables -t nat -A POSTROUTING -p tcp -o eth0 -s 192.168.10.20 --sport 80 -j SNAT --to-source 222.222.100.222:80
阅读(1833) | 评论(0) | 转发(0) |