由 stanlogin 在 06-10-2003 09:34 发表:
用IPTABLES实现简单的上网和过滤
参考资料(强烈推荐):
http://cmpp.linuxforum.net/NetSnake/
我们要做的是简单的转址(NAT)和过滤(FILTER)
假定你的网络如下:
-----------------------------------
[internet]
|
|
[主机]
|
|
[HUB交换机]
| |
| |
[内网机器] [].....
------------------------------------
其中:主机对外IP为1.2.3.4(eth0), 对内192.168.0.1(eth1), 内网为192.168.8.0/24
一、设定LINUX主机,使内网其它机器通过这台主机上网
如果主机是拨号上网:
#iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
如果主机通过实体IP上网:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
二、设定LINUX主机,限制内部对外部的访问,和外部对内部的访问
我们用最常用的策略,先关闭一切,然后打开必要的,再然后用什么打开什么iptables -P FORWARD DROP;
iptables -A FORWARD -f -j ACCEPT;
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT;
内到外,我们只让他们通过浏览器上网
iptables -A FORWARD -p tcp --dport www -i eth1 -0 eth0 -j ACCEPT
迫于“压力”,又开放了MSN
IPTABLES -A FORWARD -p TCP --dport 1863 -j ACCEPT
IPTABLES -A FORWARD -p TCP --dport 7801:7825 -j ACCEPT
IPTABLES -A FORWARD -p TCP --dport 6891:6900 -j ACCEPT
iptables -A FORWARD -d 64.4.13.0/24 -j ACCEPT
说实话,关于MSN那个我没测试,如果发现问题请提出。
这些都是简单的RULES,只是抛砖引玉,如果你有更多的需求,请参考开头我给的网址,或者自己去找,找到好的别忘了告诉我们大家
由 samwang 在 06-10-2003 14:55 发表:
to stanlogin
你这个只定义了怎么控制局域网主机和外网节点之间的通信吧,
若是想保护服务器不受恶意的攻击,是不是还应该加input链啊
还有这个地方:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
这里面的eth1是指内部网卡么,我怎么写成内部网卡导致我不能上网啊,必须写成外部网卡啊,
由 myxfc 在 06-10-2003 16:20 发表:
写的好!
哪个地方有最最基础的iptables的文章啊,我对iptables一点都不懂
由 stanlogin 在 06-11-2003 13:13 发表:
回复: to stanlogin
> quote:
>
> * * *
>
> 最初由 samwang 发表
>
> 你这个只定义了怎么控制局域网主机和外网节点之间的通信吧,
>
> 若是想保护服务器不受恶意的攻击,是不是还应该加input链啊
>
>
>
> * * *
是啊~
> quote:
>
> * * *
>
>
>
> 还有这个地方:
>
> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
>
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> 这里面的eth1是指内部网卡么,我怎么写成内部网卡导致我不能上网啊,必须写成外部网卡啊,
>
> * * *
你说的对,我的笔误,谢谢纠正
由 franktom 在 06-17-2003 22:55 发表:
那如果要开QQ的话是不是这样?
IPTABLES -A FORWARD -p udp --dport 8000 -j ACCEPT
IPTABLES -A FORWARD -p udp --dport 4000 -j ACCEPT
我爱linux www.5ilinux.com
由 slackware 在 06-27-2003 14:46 发表:
更改后如何马上生效!?谢谢
由 169boy 在 06-28-2003 01:15 发表:
改后自动马上生效。
由 henryluo 在 07-04-2003 11:43 发表:
> quote:
>
> * * *
>
> 最初由 franktom 发表
>
> **那如果要开QQ的话是不是这样?
>
> IPTABLES -A FORWARD -p udp --dport 8000 -j ACCEPT
>
> IPTABLES -A FORWARD -p udp --dport 4000 -j ACCEPT **
>
> * * *
不用的,QQ很智能的,他会走TCP的80PORT
所以为了封QQ我只好封了他的IP段
由 issin 在 07-04-2003 14:35 发表:
> quote:
>
> * * *
>
> 最初由 henrluo 发表
>
> **不用的,QQ很智能的,他会走TCP的80PORT
>
> 所以为了封QQ我只好封了他的IP段 **
>
> * * *
那么怎样封IP段,请说详细点,多谢
MDK9.1
由 issin 在 07-04-2003 14:38 发表: