文档介绍:Iptables 配置指南(1)
2011-03-15 09:46 Jephe Wu 网络转载我要评论(0) 字号:T | T
iptables 是与最新的 版本Linux 内核集成的 IP 信息包过滤系统。光知道iptables的概念是不行的,我们得知道如何去配置Iptables,从而进一步使用和了解他,本文为大家描述下Iptables 配置过程!
iptables是IP信息包过滤系统,我们有必要知道iptables的配置过程!
一、数据包经过防火墙的路径
图1比较完整地展示了一个数据包是如何经过防火墙的,考虑到节省空间,该图实际上包了三种情况:
来自外部,以防火墙(本机)为目的地的包,在图1中自上至下走左边一条路径。
由防火墙(本机)产生的包,在图1中从“本地进程”开始,自上至下走左边一条路径
来自外部,目的地是其它主机的包,在图1中自上至下走右边一条路径。
图1
如果我们从上图中略去比较少用的mangle表的图示,就有图2所显示的更为清晰的路径图.
图2
二、禁止端口的实例
禁止ssh端口
,从其它计算机上禁止使用ssh
#iptables -A INPUT -s -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --dport 22 -j DROP
禁止代理端口
#iptables -A INPUT -p tcp --dport 3128 -j REJECT
禁止icmp端口
,禁止其它人ping我的主机
#iptables -A INPUT -i eth0 -s -p icmp -m icmp --icmp-type echo-request -j ACCEPT
#iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request –j ?DROP
或
#iptables -A INPUT -i eth0 -s -p icmp -m icmp --icmp-type 8 -j ACCEPT
#iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
注:可以用iptables --protocol icmp --help查看ICMP类型
还有没有其它办法实现?
禁止QQ端口
#iptables -D FORWARD -p udp --dport 8000 -j REJECT
三、强制访问指定的站点
图3
()强制访问指定的站点,在做为防火墙的计算机()上应添加以下规则:
1. 打开ip包转发功能
echo 1 > /proc//ipv4/ip_forward
2. 在NAT/防火墙计算机上的NAT表中添加目的地址转换规则:
iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination :80
iptables -t nat -I PREROUTING -i eth0 -p udp --dport 80 -j DNAT --to-destination :80
3. 在NAT/防火墙计算机上的NAT表中添加源地址转换规则:
iptables -t nat -I POSTROUTING -o eth1 -p tcp --dport 80 -s -j SNAT --to-source :20000-30000
iptables -t nat -I POSTROUTING -o eth1 -p udp --dport 80 -s -j SNAT --to-source :20000-30000
4. 测试:在内部网的任一台计算机上打开浏览器,输入任一非本网络的IP,.
四、发布内部网络服务器
图4
要使因特网上的计算机访问到内部网的FTP服务器、WEB服务器,在做为防火墙的计算机上应添加以下规则:
1. echo 1 > /proc//ipv4/ip