网关防火墙基础配置

时间：2018-07-29 22:28:11 阅读：257 评论：0 收藏：0 [点我收藏+]

网关服务器上的防火墙简略配置：

vim /etc/sysctl.conf 修改内核参数 net.ipv4.ip_forward=1【开启路由转发】
sysctl -p 【使配置生效】
iptables -t nat -A POSTROUTING -s 【内网网段/24】-o eth0 【外网网卡】-j
SNAT--to-source 【公网地址】{配置SNAT策略使内网主机共享固定IP上网}
iptables -t nat -A POSTROUTING -s 【内网网段/24】-o ppp0 -j MASQUERADE
【共享动态ip地址上网】
iptables -t nat -A PREROUTING -d 【公网地址】-i eth0 【外网网卡】-p
tcp --dport 80 -j DNAT –to-destination 【内网服务器地址】
{配置DNAT策略发布企业内部web服务器}
对于linux网关服务器来说，在默认拒绝的情况下，若要实现共享上网，除了正常的SNAT策略以外，还需要放行内网PC与Internet中的DNS、Web、FTP等服务的通信。
iptables -A FORWARD -s 【内网网段/24】-o【外网网卡】-p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 【内网网段/24】-o【外网网卡】-p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 【内网网段/24】-o【外网网卡】-p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -d 【内网网段/24】-i 【外网网卡】-m state –state ESTABLISHED
,RELATED -j ACCEPT
service iptables save
iptables-save >/tmp/somefile 【导出防火墙配置】
iptalbles-restore </tmp/somefile 【导入防火墙配置】
具体工作中，根据实际情况有针对性的设计，并做好整体测试，避免因规则不当而导致的网络通信故障。

原文地址：http://blog.51cto.com/13588698/2151879

踩

(0)

评论一句话评论（0）

分享档案

更多>

周排行