【51CTO.com独家特稿】Iptables的基本语法(更好的理解后面的网关NAT脚本):
iptables [-t表名] <-A| I |D |R> 链名[规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网][--sport 源端口号] [-d 目标IP地址 | 目标子网][--dport 目标端口号] <-j 动作 >
INPUT链:当一个数据包由内核中的路由计算确定为本地Linux系统后,它会通过INPUT链的检查。
OUTPUT链:保留给系统自身生成的数据包。
FORWARD链:经过Linux系统路由的数据包(即当iptables防火墙用于连接两个网络,两个网络之间的数据包必须流经该防火墙)。
PREROUTING链:用于修改目的地地址(DNAT)。
POSTROUTING链:用于修改源地址(SNAT)。
◆转发和NAT的语义在iptables是独立的。转发数据包的功能是在filter表中通过使用FORWARD规则链来完成;而NAT功能是在nat通过使用PREROUTING、POSTROUTING规则链来完成。混淆这二个概念对它们的功能并没有影响,但现在记住它们的区别是很重要的。转发和NAT是二个不同的功能和技术;转发是一个路由功能,而NAT是在nat表中定义的一个转换功能。
Iptables作网关NAT路由器,启动的是NAT的地址伪装功能SNAT/MASQUERADE,具体以公司NAT路由脚本/root/firewall.sh实例来说明下:
此脚本实现功能如下:
①因为是绑定mac地址上网,企业内部客户机如绑定mac后可杜绝局域网内ARP病毒;
②对局域网内机器上网严格控制,每增加一台工作用机,就必须重新刷新NAT服务器的ip-mac对应关系;严格杜绝了公司外来用机上网问题(有的员工周末加班时喜欢带自己手提),在安全问题上做到防患于未然;
③配合NAT网关服务器的监控软件NTOP+iptraf,可以做到及时监控每台主机的流量情况,如发现流量异常可及时通知网管或行政处理;
④经工作实际使用发现,此脚本作NAT网关路由器时,可将公司10M电信光纤带宽发挥得极致,即一个员工用迅雷,整个公司均打不开网页。
⑤网关NAT服务器也适合做局域网的文件服务器,提供vsftpd,samba服务等;
⑥看过一些其它linux爱好者写过的脚本,感觉没此脚本精简方便;这里感谢3158.com技术总监唐老师提供技术性指导。
#!/bin/bash |
#为了方便调试工作,将防火墙规则写成脚本形式方便调试。
|
#以mac.txt文件定义的主机ip及mac地址来代替原有arp对应关系;每增加一台工作用机,就要重新运行一次此脚本。
#当iptables对filter nat mangle任意一表进行操作时,会自动加进iptable_nat模块;这个可以不写
modprobe iptable_nat |
#加载状态检测机制,state模块时用到,这个必写
modprobe ip_conntrack |
#ip_conntrack_ftp是本机做FTP时用到的,这个看你的网关NAT用不用FTP,我这里用到了所以写上了
modprobe ip_conntrack_ftp |
#ip_nat_ftp是通过本机的FTP时需要用到的,这个我系统用到了。
modprobe ip_nat_ftp |
#清除本网关的Filter、FORWARD、POSTROUTIG链的默认规则
|
#将FORWARD的默认策略设置为禁止一切(基于最安全原则考虑)
iptables -P FORWARD DROP |
#客户机绑定mac地址才能上网,这样防止恶意增加IP在公司内部上网,引起不安全隐患。
|
#网关上有几块网卡,eth0接的是外网IP地址,eth1、eth2等对应该局域网IP,因是租用了电信的光纤,不存在着ADSL上网情况。
|
/root/mac.txt部分内容如下:
|
【51CTO.COM 独家特稿,转载请注明出处及作者!】
【编辑推荐】
