一、实现网络互通
二、实验需求。
在网站服务器编写入站规则
1、允许接收响应本机ping测试请求的各种icmp包。
2、允许访问本机位于80端口的web服务,禁止访问其他端口的tcp请求。
3、允许发往本机以建立连接或已有连接相关的各种tcp数据包。
4、禁止其他任何形式的入站访问数据。
为网关服务器编写转发规则
1、允许局域网中的主机访问internet中的Web 、FTP、DNS、邮件服务
2、禁止局域网中的主机访问Web.qq.com、w.qq.com、im.qq.com等网站,以防止通过webQQ的方式进行在线聊天。
DNS解析:Web.qq.com、w.qq.com、im.qq.com 对应的IP地址为:
112.90.141.88、 112.90.141.164、 112.90.141.163
58.251.149.159、58.251.60.202、123.138.238.110
三、实验步骤:
vim ip.txt
112.90.141.88
112.90.141.164
112.90.141.163
58.251.149.159
58.251.60.202
123.138.238.110
vim iptables.sh
#!/bin/bash
IPT="/sbin/iptables"
$IPT -t filter -X
$IPT -t filter -F
$IPT -t filter -Z
$IPT -t nat -X
$IPT -t nat -F
$IPT -t nat -Z
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -t mangle -Z
$IPT -t raw -F
$IPT -t raw -X
$IPT -t raw -Z
$IPT -P INPUT DROP
$IPT -A INPUT -p icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -P FORWARD DROP
$IPT -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dport 20,21,25,53.80,110.143 -j ACCEPT
$IPT -A FORWARD -p udp --sport 53 -i eth0 -j ACCEPT
for i in `cat ip.txt`
do
$IPT -I FORWARD -d $i -p tcp -m multiport --dport 80,443 -j DROP
done
service $IPT save
给执行权限:chmod +x iptabels.sh
设置开机自动运行:vi /etc/rc.local
/bin/sh /root/iptables.sh