我們要做的是簡單的轉址(NAT)和過濾(FILTER) 假定你的 網絡 如下: ----------------------------------- [internet] | | [主機] | | [HUB交換機] | | | | [內網機器] []..... ------------------------------------ 其中:主機對外IP為1.2.3.4(eth0),
我們要做的是簡單的轉址(NAT)和過濾(FILTER)
假定你的網絡如下:
-----------------------------------
[internet]
|
|
[主機]
|
|
[HUB交換機]
| |
| |
[內網機器] [].....
------------------------------------
其中:主機對外IP為1.2.3.4(eth0), 對內192.168.0.1(eth1), 內網為192.168.8.0/24
一、設定LINUX主機,使內網其它機器通過這台主機上網 如果主機是撥號上網:
#iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
如果主機通過實體IP上網:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
二、設定LINUX主機,限制內部對外部的訪問,和外部對內部的訪問 # 我們用最常用的策略,先關閉一切,然後打開必要的,再然後用什麼打開什麼iptables -P FORWARD DROP;
iptables -A FORWARD -f -j A
CCEPT;
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT;
# 內到外,我們只讓他們通過浏覽器上網
iptables -A FORWARD -p tcp --dport www -i eth1 -0 eth0 -j ACCEPT
# 迫於“壓力”,又開放了MSN
IPTABLES -A FORWARD -p TCP --dport 1863 -j ACCEPT
IPTABLES -A FORWARD -p TCP --dport 7801:7825 -j ACCEPT
IPTABLES -A FORWARD -p TCP --dport 6891:6900 -j ACCEPT
iptables -A FORWARD -d 64.4.13.0/24 -j ACCEPT