歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Unix知識 >> 關於Unix

用Iptables實現簡單的上網和過濾初試

我們要做的是簡單的轉址(NAT)和過濾(FILTER) 假定你的 網絡 如下: ----------------------------------- [internet] | | [主機] | | [HUB交換機] | | | | [內網機器] []..... ------------------------------------ 其中:主機對外IP為1.2.3.4(eth0),
  我們要做的是簡單的轉址(NAT)和過濾(FILTER)
  假定你的網絡如下:
  -----------------------------------
  [internet]
  |
  |
  [主機]
  |
  |
  [HUB交換機]
  | |
  | |
  [內網機器] [].....
  ------------------------------------
  其中:主機對外IP為1.2.3.4(eth0), 對內192.168.0.1(eth1), 內網為192.168.8.0/24
  
  一、設定LINUX主機,使內網其它機器通過這台主機上網
  如果主機是撥號上網:
  #iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
  如果主機通過實體IP上網:
  iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  echo 1 > /proc/sys/net/ipv4/ip_forward
  
  二、設定LINUX主機,限制內部對外部的訪問,和外部對內部的訪問
  # 我們用最常用的策略,先關閉一切,然後打開必要的,再然後用什麼打開什麼iptables -P FORWARD DROP;
  iptables -A FORWARD -f -j ACCEPT;
  iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT;
  
  # 內到外,我們只讓他們通過浏覽器上網
  iptables -A FORWARD -p tcp --dport www -i eth1 -0 eth0 -j ACCEPT
  
  # 迫於“壓力”,又開放了MSN
  IPTABLES -A FORWARD -p TCP --dport 1863 -j ACCEPT
  IPTABLES -A FORWARD -p TCP --dport 7801:7825 -j ACCEPT
  IPTABLES -A FORWARD -p TCP --dport 6891:6900 -j ACCEPT
  iptables -A FORWARD -d 64.4.13.0/24 -j ACCEPT

Copyright © Linux教程網 All Rights Reserved