iptables试验报告

原创

过眼云 2008-07-13 15:46:26 ©著作权

文章标签 职场试验 iptables 休闲报告 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者过眼云的原创作品，请联系作者获取转载授权，否则将追究法律责任

iptables配置：

1. 主机防火墙。

环境：本机作为WEB服务器，DNS服务器，并且允许通过SSH远程管理，其他所有数据包都不允许通过。

# vi iptable.sh

#!/bin/bash

#iptable.sh

iptables -F

iptables -X

iptables -Z

iptables -t nat -F

iptables -t nat -X

iptables -t nat -Z

iptables -t mangle -F

iptables -t mangle -X

iptables -t mangle -Z

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p icmp -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A OUTPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT

service iptables save

此时本机只允许22，80，53端口数据包进入。

如果自己是DNS客户机的话，用下面的规则：

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT

2. 网关服务器（SNAT）

拓扑图：

# vi iptable.sh

#!/bin/bash

#iptable.sh

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F

iptables -Z

iptables -X

iptables -t nat -F

iptables -t nat -Z

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -Z

iptables -t mangle -X

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD ACCEPT

iptables -A OUTPUT -p icmp -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

iptables -t nat -P PREROUTING ACCEPT

iptables -t nat -P POSTROUTING ACCEPT

iptables -t nat -P OUTPUT ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -j SNAT --to-source 192.168.1.12

service iptables save

ADSL: IP伪装

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth1 -j MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ppp0 -j MASQUERADE

3. 发布服务器。(DNAT)

iptables -t nat -A PREROUTING -d 192.168.1.12 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.2

iptables -t nat -A PREROUTING -d 192.168.1.12 -p tcp --dport 20 -j DNAT --to-destination 192.168.100.2

iptables -t nat -A PREROUTING -d 192.168.1.12 -p tcp --dport 21 -j DNAT --to-destination 192.168.100.2

或者可以合并为一条（发布多端口--当目标都为一台机子时）

iptables -t nat -A PREROUTING -d 192.168.1.12 -p tcp \

-m multiport --dports 20,21,80,25,110,143 -j DNAT -to-destination 192.168.100.2

下一篇：DHCP

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯