RedHat iptables配置实例

标签：style   http   使用   strong   os   文件   

iptables配置实例

Iptables配置实例:

Iptables配置的目的，一个是防止公网的入侵，一个是让内网的兄弟们上网。在没配IPTABLES之前，只有本机能上网。

Rh8.0的“系统设置”中有个“安全级别”，它主要是针对本机来说的，不能用它来配置iptables。打开“安全级别”，把它配成“无防火墙”级别。

为了配置、测试方便，可以先用“KWrite”编个“脚本”，采用“复制”、“粘贴”方式，把全部语句一次性粘贴到“终端”里执行。这样修改测试都很方便。

打开“其他”—“辅助设施”中的“KWrite”，将下面的样本输入或粘贴到里面（其中，eth0、eth1分别是外、内网卡）：

echo "Enable IPForwarding..."

echo 1>/proc/sys/net/ipv4/ip_forward

echo "Starting iptablesrules..."

/sbin/modprobe iptable_filter

/sbin/modprobe ip_tables

/sbin/modprobe iptable_nat

/sbin/modprobe ip_nat_ftp ;支持被动FTP

/sbin/modprobe ip_conntrack_ftp ;

/sbin/modprobe ip_conntrack_h323 ;支持NETMEETING

/sbin/modprobe ip_nat_h323 ;

iptables -F INPUT

iptables -F FORWARD

iptables -F OUTPUT

iptables -F POSTROUTING -t nat

iptables -F PREROUTING -t nat

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth1 -j ACCEPT

iptables -A INPUT -i eth0 -m state --stateESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 192.168.0.0/24 -jACCEPT

iptables -A FORWARD -i eth0 -m state--state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -s192.168.0.0/24 -j MASQUERADE

/etc/rc.d/init.d/iptables restart

iptables -L

再另存为一个文件放到桌面上，便于使用。

在这个配置里面，INPUT和转发FORWARD功能的缺省值都是拒绝（DROP），这意味着在后面的INPUT和FORWARD语句中没有表明通过（ACCEPT）的都将被拒之门外。这是一个最好的安全模式，经过使用赛门铁克的在线测试，所有公网端口都是隐藏的。注意，所有内网端口都是打开的，本机对内没有安全可言。

其它的语句我就不多说了，最后一句是显示配置执行后的链路结果。

每次修改完后，将整篇语句全部复制，再粘贴到“终端”，它将自动配置、启动、显示一次。反复修改、测试，直到达到你的要求。

最后将整篇语句全部复制，再粘贴到“/etc/rc.d/rc.local”文件后面，你的配置开机后也可以自动执行了。

内容来自: 脚本之家www.jb51.net

#touch /etc/rc.d/firewall
# chmod u+x /etc/rc.d/firewall
# echo "/etc/rc.d/firewall" >> /etc/rc.d/rc.local
# vi /etc/rc.d/firewall
#!/bin/bash
echo "1" /proc/sys/net/ipv4/ip_forward
INET_IFACE="eth1"
INET_IP="10.19.51.182"
LAN_IFACE="eth0"
LAN_IP="192.168.0.1"
LAN_IP_RANGE="192.168.0.0/24"
IPT="/sbin/iptables"
SERVER="192.168.0.100"
DNS="192.168.0.99"
HTTP="80"
MAIL_SMTP="25"
MAIL_POP3="110"
DNS_PORT="53"
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
for TABLE in filter nat mangle ; do
$IPT -t $TABLE -F
$IPT -t $TABLE -X
done
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
for DNS in $(grep ^n /etc/resolv.conf|awk ‘{print $2}‘) ; do
$IPT -A INPUT -p udp -s $DNS --sport domain -j ACCEPT
done
$IPT -A INPUT -p tcp --sport $HTTP -j ACCEPT
$IPT -A INPUT -p tcp --sport $MAIL_25 -j ACCEPT
$IPT -A INPUT -p tcp --sport $MAIL_110 -j ACCEPT
$IPT -A INPUT -p tcp --sport $DNS_PORT -j ACCEPT
$IPT -N LOGDENY
$IPT -A LOGDENY -j LOG --log-prefix "iptables:"
$IPT -A LOGDENY -j DROP
$IPT -A INPUT -i ! lo -m state --state NEW,INVALID -j LOGDENY
#if [ "$INET_IFACE" = ppp0 ] ; then
#$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
#else
#$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP
#fi
$IPT -t nat -A POSTROUTING -o $INET_IFACE -s 192.168.0.25 -j SNAT --to $INET_IP

$IPT -t net -A PRERROUTING -p tcp -d$INET_IP --dport $HTTP \
-j DNAT --to $SERVER:$HTTP
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $MAIL_25 \
-j DNAT --to $SERVER:$MAIL_25
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $MAIL_110 \
-j DNAT --to $SERVER:$MAIL_110
$IPT -t net -A PRERROUTING -p tcp -d $INET_IP --dport $DNS_PORT \
-j DNAT --to $DNS:$DNS_PORT
:wq
#/etc/rc.d/firewall

一个使用iptables配置NAT的实例

2008-07-15 10:41

本文介绍如何在linux系统上使用iptables建立NAT, 我们可以把它做为一个网关, 从而局域网的多台机器可以使用一个公开的ip地址连接外网. 我使用的方法是重写通过NAT系统IP包的源地址和目标地址.

准备:
 CPU: PII或更高
系统: 任何Linux版本
软件: Iptables
网卡: 2块

想法:
用你的广域网IP替换xx.xx.xx.xx
用你的局域网IP替换yy.yy.yy.yy
 (比如: 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8)

WAN = eth0 有一个外网ip地址 xx.xx.xx.xx
 LAN = eth1 有一个内网ip地址  yy.yy.yy.yy/ 255.255.0.0

过程:
步骤#1. 添加2块网卡到你的Linux系统.
步骤#2. 确认你的网卡是否正确安装:

ls /etc/sysconfig/network-scripts/ifcfg-eth* | wc -l
结果输出应为”2″

步骤#3. 配置eth0, 使用外网ip地址(基于ip的外部网络或互连网)

cat /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
 BOOTPROTO=none
 BROADCAST=xx.xx.xx.255 # 附加选项
 HWADDR=00:50:BA:88:72:D4 # 附加选项
 IPADDR=xx.xx.xx.xx
 NETMASK=255.255.255.0 # ISP提供
 NETWORK=xx.xx.xx.0 # 可选
 ONBOOT=yes
 TYPE=Ethernet
 USERCTL=no
 IPV6INIT=no
 PEERDNS=yes
 GATEWAY=xx.xx.xx.1 # ISP提供

步骤#4. 配置eth1, 使用局域网地址(内部网络)

cat /etc/sysconfig/network-scripts/ifcfg-eth1

BOOTPROTO=none
 PEERDNS=yes
 HWADDR=00:50:8B:CF:9C:05 # Optional
 TYPE=Ethernet
 IPV6INIT=no
 DEVICE=eth1
 NETMASK=255.255.0.0 # Specify based on your requirement
 BROADCAST=”"
 IPADDR=192.168.2.1 # Gateway of the LAN
 NETWORK=192.168.0.0 # Optional
 USERCTL=no
 ONBOOT=yes

步骤#5. 配置主机 (可选)
 cat /etc/hosts
 127.0.0.1 nat localhost.localdomain localhost

步骤#6. 配置网关
 cat /etc/sysconfig/network

NETWORKING=yes
 HOSTNAME=nat
 GATEWAY=xx.xx.xx.1 # 互连网或外网网关, ISP提供

步骤#6. 配置DNS
 cat /etc/resolv.conf

nameserver 203.145.184.13 # 主DNS服务器, ISP提供
 nameserver 202.56.250.5 # 第二个DNS服务器, ISP提供

步骤#8. 使用IP Tables配置NAT
 # 删除刷新缺省表如”filter”, 其它表如”nat”需清楚标明:
 iptables –flush # 刷新所有过滤规则和NAT表.
 iptables –table nat –flush
 iptables –delete-chain

#删除所有非缺省的规则链和nat表
 iptables –table nat –delete-chain

#建立IP转发和伪装
 iptables –table nat –append POSTROUTING –out-interface eth0 -j MASQUERADE
 iptables –append FORWARD –in-interface eth1 -j ACCEPT

#打开内核的包转发功能
 echo 1 > /proc/sys/net/ipv4/ip_forward

#应用iptables配置
 service iptables restart

步骤#9. 测试
 # 用一台客户机ping网关
 ping 192.168.2.1

然后测试能否访问外网:
 ping google.com

内部网络客户端的配置
局部办公网络的所有计算机把网关设置为linux(系统)网关的内网ip地址.
 DNS设置为ISP提供的DNS.
 Windows’95,2000,XP上的配置:

选择 “开始” -> “设置”  -> “控制面版”
选择 “网络” 图标
选择 “配置”, 然后双击以太网络的”TCP/IP”部分(不是TCP/IP  -> 拨号适配器)
然后输入:
 “网关”: 使用linux系统的内网ip地址.(192.168.2.1)
 “DNS配置”: 使用IPS提供的DNS地址. (通常使用互连网地址)
 “IP地址”: ip地址(192.168.XXX.XXX  - 静态)和掩码(小的本地办公网络通常使用255.255.0.0).

RedHat iptables配置实例,布布扣,bubuko.com

RedHat iptables配置实例

标签：style   http   使用   strong   os   文件   

原文地址：http://my.oschina.net/Dingos/blog/293138