iptables系統(tǒng)配置防火墻和NAT功能的實例學(xué)習(xí)_第1頁
iptables系統(tǒng)配置防火墻和NAT功能的實例學(xué)習(xí)_第2頁
iptables系統(tǒng)配置防火墻和NAT功能的實例學(xué)習(xí)_第3頁
iptables系統(tǒng)配置防火墻和NAT功能的實例學(xué)習(xí)_第4頁
iptables系統(tǒng)配置防火墻和NAT功能的實例學(xué)習(xí)_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、iptables系統(tǒng)配置防火墻和NAT功能的實例學(xué)習(xí)來源: ChinaUnix博客日期:2007.11.01 11:55(共有0條評論 我要評論關(guān)于Slackware 9.1.0 的配置說明* *關(guān)于防火墻系統(tǒng)恢復(fù)操作和啟動方法說明* *該系統(tǒng)主要作用就是對內(nèi)部服務(wù)器作靜態(tài)nat映射和端口訪問控制。在防火墻中,系統(tǒng)啟動時已經(jīng)自動啟動了以上防火墻腳本,啟動位置為:/etc/rc.d/rc.local文件中, sh /etc/rc.d/nat_firewall.sh #在系統(tǒng)啟動時自動啟動該腳本如果需要手動啟用防火墻和靜態(tài)nat映射功能,操作以下步驟即可。cd /etc/rc.d/./portna

2、t.sh如果用戶不需要對內(nèi)部服務(wù)器作任何端口控制,只需要作靜態(tài)nat映射,只要執(zhí)行以下文件,即可恢復(fù)不設(shè)防火墻狀態(tài)。cd /etc/rc.d/./no_firewall.sh* *關(guān)于Slackware 9.1.0 系統(tǒng)配置防火墻和NAT功能的配置說明*(nat_firewall.sh *#!/bin/sh# make:zcatlinux# time:2004-06-18# e-mail:xuequansongmoPATH=/sbin:/bin:/usr/sbin:/usr/bin#設(shè)置內(nèi)部服務(wù)器對外的tcp端口,如果需要修改對內(nèi)部訪問的端口號,直接在這里修改即可, #添加規(guī)則就是之間端口號之

3、間有一個空格就可以了。下面upd端口添加規(guī)則也一樣#tcp allow portsTPORTS="80 22" #在遠程只允許用戶訪問防火墻的22、80端口#設(shè)置內(nèi)部服務(wù)器對外的udp端口#udp allow portsUPORTS="53 123"#設(shè)置防火墻對外網(wǎng)卡及ip地址#config out_eth interfaceOUT_ETH="eth1"OUT_ETH_IP="202.138.164.110"#設(shè)置防火墻外網(wǎng)卡的tcp端口#set out_eth_ip(firewall out ip portsO

4、UT_ETH_IP_PORTS="22" #在遠程只允許用戶訪問防火墻的22端口#設(shè)置防火墻對內(nèi)網(wǎng)卡及ip地址#config in_eth interfaceIN_ETH="eth0"IN_ETH_IP="10.10.11.110"#設(shè)置防火墻內(nèi)部服務(wù)器的ip地址段#internal ip rangeSERVER_IP="10.10.11.0/24"1、系統(tǒng)對ip傳發(fā)包的配置文件初始化操作,輸入值為0表示不轉(zhuǎn)發(fā),1為開啟轉(zhuǎn)發(fā)功能,此處需要初始化為0#Disable forwardingecho 0 > /pr

5、oc/sys/net/ipv4/ip_forward#即初始化iptables規(guī)則列表。#reset default policiesiptables -P INPUT ACCEPTiptables -P FORWARD ACCEPTiptables -P OUTPUT ACCEPTiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P POSTROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPT#刪除iptables所有規(guī)則#del all iptables rulesiptables -F INP

6、UT #刪除iptables中INPUT規(guī)則iptables -F FORWARD #刪除iptables中FORWARD規(guī)則iptables -F OUTPUT #刪除iptables中OUTPUT規(guī)則#清空所有規(guī)則鏈#clean all non-default chainsiptables -Xiptables -t nat -X#定義iptables安全的默認規(guī)則#iptables default rulesiptables -P INPUT DROP #拒絕所有外部發(fā)往本機的數(shù)據(jù)包,即禁止所有對內(nèi)部的數(shù)據(jù)包通過iptables -P FORWARD DROP #不允許所有數(shù)據(jù)包轉(zhuǎn)發(fā)ip

7、tables -P OUTPUT ACCEPT #允許所有內(nèi)部發(fā)往外部的包通過#允許icmp包通過,即允許ping#allow ping packetsiptables -A INPUT -p ICMP -s 0/0 -icmp-type 0 -j ACCEPTiptables -A INPUT -p ICMP -s 0/0 -icmp-type 3 -j ACCEPTiptables -A INPUT -p ICMP -s 0/0 -icmp-type 5 -j ACCEPTiptables -A INPUT -p ICMP -s 0/0 -icmp-type 8 -j ACCEPTipta

8、bles -A INPUT -p ICMP -s 0/0 -icmp-type 11 -j ACCEPTiptables -A INPUT -p ICMP -s 0/0 -icmp-type 11 -j ACCEPT#當(dāng)建立聯(lián)機狀態(tài)時,允許數(shù)據(jù)互相轉(zhuǎn)發(fā)。其中,ESTABLISHED表示該封包屬于某個已經(jīng)建立的聯(lián)機, #RELATED 表示該封包是屬于某個已經(jīng)建立的聯(lián)機,所建立的新聯(lián)機。#enable forwardingiptables -A FORWARD -m state -state ESTABLISHED,RELATED -j ACCEPT #允許要求聯(lián)機封包或響應(yīng)封包之間轉(zhuǎn)發(fā)包#數(shù)據(jù)

9、包狀態(tài)為聯(lián)機和響應(yīng)狀態(tài)時允許進入#STATE RELATED for routeriptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT #允許要求聯(lián)機封包或響應(yīng)封包進入#允許源地址為服務(wù)器ip段發(fā)往防火墻內(nèi)網(wǎng)卡的包進入#accept internal packets on the internal i/fiptables -A INPUT -i $IN_ETH -s $SERVER_IP -p tcp -j ACCEPT#控制防火墻本身對外ip地址的端口#accept firewall out eth ip portsf

10、or OEP in $OUT_ETH_IP_PORTSdoiptables -A INPUT -d $OUT_ETH_IP -p tcp -destination-port $OEP -j ACCEPTdone#控制內(nèi)部服務(wù)器對外的端口#open ports on router for server/services#TCP PORTS(tcp類型的端口for ATP in $TPORTSdo#允許源地址為非內(nèi)部服務(wù)器段的所有ip,目的地址為內(nèi)部服務(wù)器ip的tcp端口的連接包進入iptables -A INPUT ! -s $SERVER_IP -d $SERVER_IP -p tcp -de

11、stination-port $ATP -j ACCEPTiptables -A FORWARD -p tcp -destination-port $ATP -j ACCEPT #被允許目的端口連接之間互相傳送數(shù)據(jù)包done#UDP PORTS(udp類型的端口for AUP in $UPORTSdoiptables -A INPUT -p udp -destination-port $AUP -j ACCEPTiptables -A FORWARD -p udp -destination-port $AUP -j ACCEPTdone#在對內(nèi)訪問的連接中,只要是INVALID(即無效的連接就

12、丟棄該包#bad_packets chain#drop INVALID packets immediately#iptables -A INPUT -p ALL -m state -state INVALID -j DROP#限制過濾規(guī)則的比對頻率為每秒鐘平均流量100個封包,將瞬間流量設(shè)定為一次最多處理100個封包(超過上限的封包將丟棄不予處理,防止有拒絕服務(wù)性的攻擊,即洪水性的大量數(shù)據(jù)包攻擊。#limit SYN flood#iptables -A INPUT -f -m limit -limit 100/s -limit-burst 100 -j ACCEPT#限制對內(nèi)部封包的發(fā)送速度

13、#iptables -A FORWARD -f -m limit -limit 100/s -limit-burst 100 -j ACCEPT#限制建立聯(lián)機的 轉(zhuǎn)發(fā)包的速度 #允許本機 Loopback 接口,即 127.0.0.1 #allow loopback iptables -A INPUT -i lo -p all -j ACCEPT iptables -A OUTPUT -o lo -p all -j ACCEPT #啟動 IP Forward 接口 #enable forwarding echo 1 > /proc/sys/net/ipv4/ip_forward #當(dāng)本機

14、做 NAT 時,在外網(wǎng)卡上面綁定多個靜態(tài)映射的 ip 地址.如果要添加修改 nat 靜態(tài)映射的 ip 地址, 在這里按照規(guī)則添加即可 #config net-eth ip address ifconfig eth0:1 202.138.164.101 netmask 255.255.255.128 ifconfig eth0:2 202.138.164.102 netmask 255.255.255.128 ifconfig eth0:3 202.138.164.103 netmask 255.255.255.128 ifconfig eth0:4 202.138.164.104 netmas

15、k 255.255.255.128 ifconfig eth0:5 202.138.164.105 netmask 255.255.255.128 ifconfig eth0:8 202.138.164.108 netmask 255.255.255.128 #設(shè)置做靜態(tài) nat 的映射規(guī)則.如果需要添加刪除靜態(tài) nat 的條目,在這里修改添加即可. #set static IP nat rule, POSTROUTING/PREROUTING #(snatiptables -t nat -A POSTROUTING -j SNAT -to 202.202.210.10 #(dnatiptab

16、les -t nat -A PREROUTING -j DNAT -to 10.10.10.10 # iptables -t nat -A POSTROUTING -s 10.10.11.101 -j SNAT -to 202.138.164.101#收到的源 ip 地址為 10.10.10.101 的數(shù)據(jù)包進行源 NAT(SNAT iptables -t nat -A PREROUTING -d 202.138.164.101 -j DNAT -to 10.10.11.101#收到的目的 ip 為 202.38.64.101 的所有數(shù)據(jù)包進行目的 NAT(DNAT iptables -t n

17、at -A POSTROUTING -s 10.10.11.102 -j SNAT -to 202.138.164.102 iptables -t nat -A PREROUTING -d 202.138.164.102 -j DNAT -to 10.10.11.102 iptables -t nat -A POSTROUTING -s 10.10.11.103 -j SNAT -to 202.138.164.103 iptables -t nat -A PREROUTING -d 202.138.164.103 -j DNAT -to 10.10.11.103 iptables -t nat

18、 -A POSTROUTING -s 10.10.11.104 -j SNAT -to 202.138.164.104 iptables -t nat -A PREROUTING -d 202.138.164.104 -j DNAT -to 10.10.11.104 iptables -t nat -A POSTROUTING -s 10.10.11.105 -j SNAT -to 202.318.164.105 iptables -t nat -A PREROUTING -d 202.138.164.105 -j DNAT -to 10.10.11.105 iptables -t nat -A POSTROUTING -s 10.10.11.108 -j SNAT -to 202.138.164.108 iptables -t nat -A PREROUTING -d 202.138.164.108 -j DNAT -to 10.10.11.108 * * * *附:刪除防火墻規(guī)則只做 nat 的文件說明(no_firewall.sh* * * * #!/bin/sh PATH=

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論