Iptables 配置指南

运维 系统运维
iptables 是与最新的 2.6.x 版本Linux 内核集成的 IP 信息包过滤系统。光知道iptables的概念是不行的,我们得知道如何去配置Iptables,从而进一步使用和了解他,本文为大家描述下Iptables 配置过程!

iptables是IP信息包过滤系统,我们有必要知道iptables的配置过程!

  一、数据包经过防火墙的路径

  图1比较完整地展示了一个数据包是如何经过防火墙的,考虑到节省空间,该图实际上包了三种情况:

  来自外部,以防火墙(本机)为目的地的包,在图1中自上至下走左边一条路径。

  由防火墙(本机)产生的包,在图1中从“本地进程”开始,自上至下走左边一条路径

  来自外部,目的地是其它主机的包,在图1中自上至下走右边一条路径。

  

 

  图1

  如果我们从上图中略去比较少用的mangle表的图示,就有图2所显示的更为清晰的路径图.

  

 

  图2

#p#

  二、禁止端口的实例

  禁止ssh端口

  只允许在192.168.62.1上使用ssh远程登录,从其它计算机上禁止使用ssh

  #iptables -A INPUT -s 192.168.62.1 -p tcp --dport 22 -j ACCEPT

  #iptables -A INPUT -p tcp --dport 22 -j DROP

  禁止代理端口

  #iptables -A INPUT -p tcp --dport 3128 -j REJECT

  禁止icmp端口

  除192.168.62.1外,禁止其它人ping我的主机

  #iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type echo-request -j ACCEPT

  #iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request –j ?DROP

  或

  #iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT

  #iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP

  注:可以用iptables --protocol icmp --help查看ICMP类型

  还有没有其它办法实现?

  禁止QQ端口

  #iptables -D FORWARD -p udp --dport 8000 -j REJECT

#p#

  三、强制访问指定的站点

  

 

  图3

  要使192.168.52.0/24网络内的计算机(这此计算机的网关应设为192.168.52.10)强制访问指定的站点,在做为防火墙的计算机(192.168.52.10)上应添加以下规则:

  1. 打开ip包转发功能

  echo 1 > /proc/sys/net/ipv4/ip_forward

  2. 在NAT/防火墙计算机上的NAT表中添加目的地址转换规则:

  iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 202.96.134.130:80

  iptables -t nat -I PREROUTING -i eth0 -p udp --dport 80 -j DNAT --to-destination 202.96.134.130:80

  3. 在NAT/防火墙计算机上的NAT表中添加源地址转换规则:

  iptables -t nat -I POSTROUTING -o eth1 -p tcp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000

  iptables -t nat -I POSTROUTING -o eth1 -p udp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000

  4. 测试:在内部网的任一台计算机上打开浏览器,输入任一非本网络的IP,都将指向IP为202.96.134.130的网站.

#p#

  四、发布内部网络服务器

  

 

  图4

  要使因特网上的计算机访问到内部网的FTP服务器、WEB服务器,在做为防火墙的计算机上应添加以下规则:

  1. echo 1 > /proc/sys/net/ipv4/ip_forward

  2. 发布内部网web服务器

  iptables -t nat -I PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 --dport 80 -j DNAT --to-destination 192.168.52.15:80

  iptables -t nat -I POSTROUTING -p tcp -i eth0 -s 192.168.52.15 --sport 80 -j SNAT --to-source 202.96.134.10:20000-30000

  3. 发布内部网ftp服务器

  iptables -t nat -I PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 --dport 21 -j DNAT --to-destination 192.168.52.14:21

  iptables -t nat -I POSTROUTING -p tcp -i eth0 -s 192.168.52.14 --sport 21 -j SNAT --to-source 202.96.134.10:40000-50000

  4. 注意:内部网的计算机网关要设置为防火墙的ip(192.168.52.1)

  5. 测试: 用一台IP地址为202.96.134.0段的计算机虚拟因特网访问,当在其浏览器中访问http://202.96.134.10时,实际应看到的是192.168.52.15的的web服务;

  当访问ftp://202.96.134.10时,实际应看到的是192.168.52.14上的的ftp服务

#p#

  五、智能DNS

  

 

  图5

  1. echo 1 > /proc/sys/net/ipv4/ip_forward

  2. 在NAT服务器上添加以下规则:

  在PREROUTING链中添加目的地址转换规则:

  iptables -t nat -I PREROUTING -i eth0 -p tcp --dpor 53 -j DNAT --to-destination 202.96.134.130

  iptables -t nat -I PREROUTING -i eth0 -p udp --dpor 53 -j DNAT --to-destination 202.96.134.130

  在POSTROUTING链中添加源地址转换规则:

  iptables -t nat -I POSTROUTING -o eth1 -s 192.168.52.0/24 -p tcp --dpor 53 -j SNAT --to-source 202.96.134.10:40000-50000

  iptables -t nat -I POSTROUTING -o eth1 -s 192.168.52.0/24 -p udp --dpor 53 -j SNAT --to-source 202.96.134.10:40000-50000

  3. 测试

  在内部网任一台计算机上,将DNS设置为任意的外网IP,就可以使用DNS测试工具如nslookup来解析DNS服务器202.96.134.130上的名称.

#p#

  六、端口映射

  见上节透明代理设置

  #iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.62.0/24 --dport 80 -j REDIRECT --to-ports 3128

  七、通过NAT上网

  典型NAT上网

  一般做为NAT的计算机同时也是局域网的网关,假定该机有两块网卡eth0、eth1,eth0连接外网,IP为202.96.134.134;eth1连接局域网,IP为192.168.62.10

  1. 先在内核里打开ip转发功能

  #echo 1 > /proc/sys/net/ipv4/ip_forward

  2.?使局域网用户能访问internet所要做的nat

  #iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to?202.96.134.134

  如果上网的IP是动态IP,则使用以下规则:

  #iptables -t nat -A POSTROUTING -o eth0 -s 192.168.62.0/24 -j MASQUERADE

  如果是通过ADSL上网,且公网IP是动态IP,则使用以下规则:

  #iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.62.0/24 -j MASQUERADE

  3. 使internet用户可以访问局域网内web主机所要做的nat

  #iptables -t nat -A PREROUTING -p tcp -d 202.96.134.134 --dport 80 -j DNAT --to-destination 192.168.62.10

  注:局域网内的客户端需将默认网关、DNS设为防火墙的IP

  在我们的网络机房实现NAT共享上网

  工作环境:上层代理192.168.60.6(4480),只授予教师机(192.168.62.111)使用该代理的权限

  目标:不使用squid代理上网,而是使用NAT的方式上网

  方法:

  1) 确保停止教师机(192.168.62.111)的squid或其它代理服务

  2) 客户端网关、DNS均指向192.168.62.111,浏览器代理设置为192.168.60.6(4480)。测试在当前情况下能否上网

  3) 在教师机(192.168.62.111)上添加如下iptables规则:

  #iptables -t nat -A POSTROUTING -p tcp -d 192.168.60.6/32 --dport 4480 -j SNAT --to-source 192.168.62.111:10000-30000

  解释:对于目的地为192.168.60.6、目的端口为4480的TCP包,在经过防火墙路由后,将其源地址转换为192.168.62.111,端口转换为10000-30000间的某个端口。

  4) 客户端测试能否上网

#p#

  八、IP规则的保存与恢复

  iptables-save把规则保存到文件中,再由目录rc.d下的脚本(/etc/rc.d/init.d/iptables)自动装载

  使用命令iptables-save来保存规则。一般用

  iptables-save > /etc/sysconfig/iptables

  生成保存规则的文件 /etc/sysconfig/iptables,

  也可以用

  service iptables save

  它能把规则自动保存在/etc/sysconfig/iptables中。

  当计算机启动时,rc.d下的脚本将用命令iptables-restore调用这个文件,从而就自动恢复了规则。

通过文章的详细介绍,我们可以清楚的知道iptables的八大点配置过程,感兴趣的朋友快跟朋友一起分享吧!

【编辑推荐】

 

 

责任编辑:赵鹏 来源: 网络转载
相关推荐

2011-03-15 14:01:13

2011-03-16 16:29:27

保存iptables

2013-02-28 13:18:08

2011-03-14 14:40:10

2011-03-17 16:31:12

2011-03-16 11:08:58

2009-11-30 09:56:16

2011-03-15 15:47:25

Squidiptables

2011-03-16 10:17:06

2011-03-15 09:02:01

IPtables常用命令

2011-03-15 15:47:15

Iptables防火墙

2011-03-25 10:37:17

2021-12-08 15:11:51

FreeDOSLinux

2011-04-21 09:54:14

Linuxiptables

2011-03-16 12:46:29

CentOSiptables防火墙

2012-04-27 09:53:37

Ubuntu 12.0

2011-03-02 16:19:30

网络转载

2011-01-12 09:59:28

Ubuntu Serviptables

2010-06-07 16:10:53

HadoopOnDem

2010-06-07 09:08:38

Cacti配置
点赞
收藏

51CTO技术栈公众号