由 jamlee800 在 03-28-2003 10:25 发表:
IPTABLES 配置方法介绍
本方法以前贴出过,现进一步完善后再奉献出来,望对新人有所帮助。
在配置IPTABLES以前,你必须保证本机DNS和路由已经配好,本机能够正常上网。反之请暂不要启动IPTABLES。
Iptables配置
配置iptables的目的,一个是防止公网的入侵,一个是让内网的兄弟们上网。在没配之前,只有本机能上网。
Rh8.0的“系统设置”中有个“安全级别” ,它主要是针对本机来说的,不能用它来配置iptables。打开“安全级别”,把它配成“无防火墙”级别。
为了配置、测试方便,可以先用“KWrite”编个“脚本”,采用“复制”、“粘贴”方式,把全部语句一次性粘贴到“终端”里执行。这样修改测试都很方便。
打开“其他”—“辅助设施”中的“KWrite”,将下面的样本输入或粘贴到里面(其中,eth0、eth1分别是外、内网卡):
echo "Enable IP Forwarding..."
echo 1 >/proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp ;支持被动FTP
/sbin/modprobe ip_conntrack_ftp ;
/sbin/modprobe ip_conntrack_h323 ;支持NETMEETING
/sbin/modprobe ip_nat_h323 ;
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
/etc/rc.d/init.d/iptables restart
iptables -L
再另存为一个文件放到桌面上,便于使用。
在这个配置里面,INPUT和转发FORWARD功能的缺省值都是拒绝(DROP),这意味着在后面的INPUT和FORWARD语句中没有表明通过(ACCEPT)的都将被拒之门外。这是一个最好的安全模式,经过使用赛门铁克的在线测试,所有公网端口都是隐藏的。注意,所有内网端口都是打开的,本机对内没有安全可言。
其它的语句我就不多说了,最后一句是显示配置执行后的链路结果。
每次修改完后,将整篇语句全部复制,再粘贴到“终端”,它将自动配置、启动、显示一次。反复修改、测试,直到达到你的要求。
最后将整篇语句全部复制,再粘贴到“/etc/rc.d/rc.local”文件后面,你的配置开机后也可以自动执行了。
由 dsj 在 03-28-2003 11:36 发表:
兄弟,不错啊!
闲聊空间:
http://www.wonyen.net/bbs/mboard.asp
由 ericmeng 在 04-17-2003 23:21 发表:
permanent save iptables!
--> service iptables save #(don't need rc.local)
less /etc/sysconfig/iptables
chkconfig iptables on
由 baokongwei 在 04-18-2003 14:28 发表:
能否把每条语句解释一下
由 ericmeng 在 04-18-2003 14:52 发表:
1. iptables settings can be saved in the file /etc/sysconfig/iptables by using the command "service iptables save". (this is redhat command)
2. this file can be read by -->less /etc/sysconfig/iptables, in this file you can read the statement, but don't suggest to change this file by manual, in this file has some special setting.
3. chkconfig iptables on, then the iptables service still on even you reboot your machine!
由 faint 在 04-30-2003 14:13 发表:
man iptables
由 picotrue 在 04-30-2003 20:04 发表:
赫赫,蛮好的,不过我想应该再讲的详细点,这个东西很有用的
配置的好就是很强的防火墙了。
顶一下
COMPAQ N610V 2.2G 512M
ATHLON 1G+QDI KD7-A+512M DDR
EDIFIER S4.1+CREATIVE SB LIVE5.1
ST 7200.7 120G +GEFORCE2 MX400
OS:DEBIAN /WOODY
welcome to tongji-picole[ftp]
deb547.dns07