自己写的一个防火墙脚本，并+了注释。

由 gouf123 在 06-09-2004 18:53 发表:

自己写的一个防火墙脚本，并+了注释。

eth0接外网

eth1接内

我自己写的防火墙，对各个部分都做了解释，希望大家喜欢，并欢迎大家一起交流

编辑/etc/sysctl.conf文件，并确认net.ipv4.ip_forward = 1

#重新设置策略链并删除已有规则

iptables --policy INPUT ACCEPT

iptables --policy OUTPUT ACCEPT

iptables --policy FORWARD ACCEPT

iptables --flush

iptables --flush -t nat

#设置基本的过滤规则，从而拒绝所有的网络流量

iptables --policy INPUT DROP

iptables --policy OUTPUT DROP

iptables --policy FORWARD DROP

#在回送接口允许所有内部网络流量

iptables -A OUTPUT -j ACCEPT -i lo

iptables -A INPUT -j ACCEPT -o lo

#配置向外方向的TCP规则，其中，-state ESTABLISHED,NEW参数指定要检查哪个状态。ESTABLISHED

标志匹配属于已有的TCP连接的封包。NEW标志指定试图创建一条新TCP连接的第一个封包，这条规则指明

属于新建的和已建立的TCP连接的封包将会通过eth0端口想外发送。

iptables -A OUTPUT -j ACCEPT -o eth0 -p tcp -m state --state ESTABLISHED,NEW

#检查到达外部网络接口的封包状态。属于已有TCP连接的封包都允许通过

iptables -A INPUT -i eth0 -p -m state --state ESTABLISHED,RELATED -j ACCEPT

#配置封包从一个端口转发到另一个

iptables -A FORWARD -i eth1 -j ACCEPT

iptables -A FORWARD -j eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#下面对源地址进行转换

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to a.b.c.d

由 doocoo 在 06-09-2004 18:59 发表:

你好.能不能帮我写一下.有关于带200台机子的路由上的防火墙呢?

谢谢..还有就是透明代理..加proftpd.+ Samba

E-mail [email protected]

由 Snoopy 在 06-09-2004 19:00 发表:

好,兄弟努力 !

And then in the evening light, when the bars of freedom fall

I watch the two of you in the shadows on the wall

How in the darkness steals some of the choices from my hand

Then will I begin to under

由 doocoo 在 06-09-2004 19:02 发表:

我的想法是用redhat -as3做服务器..做一个透明的代理.带上二百台的机子.加上proftpd.+ .samba.内核是2.6.6//

就是不知道得加上那些模快.和不要那些....还有就是防火墙..

由 Snoopy 在 06-09-2004 19:04 发表:

不是很难,,参考一下精华可以搞定,有具体问题再发贴

And then in the evening light, when the bars of freedom fall

I watch the two of you in the shadows on the wall

How in the darkness steals some of the choices from my hand

Then will I begin to under

由 faint 在 06-09-2004 19:06 发表:

200台机器？用iptables+squid高效的防火墙.

由 doocoo 在 06-09-2004 19:09 发表:

不是的. 用...redhat-as3 .内核是2.6.6..如果精华里找不到.我想过二天去书城...找一些我想要的资料..架成了再做个总结..

由 gouf123 在 06-09-2004 19:11 发表:

朋友，我告诉你。先看论坛的精华帖，有什么不懂的在说。你这样被人怎么帮你，难道去帮你做服务器？

由 doocoo 在 06-09-2004 19:14 发表:

是的.我也是这样想的.对了我找了好多的资料..有关代理的.有一点是不明白的.就是做成了代理.我下面的客户机的网关是192.168.0.19想架成以后.不用再改下面的机子..在代理中写到.代理服务器成了以后.要在下面的IE设置里改..192.168.0.19:3128,

由 gouf123 在 06-09-2004 19:21 发表:

编辑/etc/squid/squid.conf,加以下内容：

httpd_accel_host virtual

httpd_accel