|教程: Linux教程-系统管理-使用netfilter/iptables构建防火墙|-|无师自通-教程网|

欢迎大家光临【无师自通-教程网】您的到来是我们的荣幸。本站提供photoshop教程,ps教程,flash教程,cad教程,网页制作教程,excel教程,asp教程,vb教程,3d教程,c语言教程,html教程,coreldraw教程,dreamweaver教程,java教程,3dmax教程等各种教程为主题的内容和服务,相信您会在这里找到您所需要的东东。无师自通伴您一生-谢谢您的光临！！

		网站地图	设为首页
		简繁切换	加入收藏
		栏目待定	留言本站

您现在的位置：无师自通-教程网 >> 操作系统 >> Linux >> 系统管理 >> 教程正文

没有公告

图形图像教程	photoshop	Flash	3DS Max	CorelDraw	Fireworks	Illustrator	Maya	AutoCAD
网络应用教程	局域网教程	综合布线	系统集成	无盘网络组建	网络产品资料	网络风险评估	光纤通信	网络接入
程序设计教程	C语言教程	vb教程	C#教程	VC语言教程	Ｃ＋＋教程	Java教程	数据库教程	Delphi教程
操作系统教程	WindowsXP	Linux	Win2003	Vista	Win2000	苹果系统	Dos教程	FreeBSD
办公软件教程	Word教程	Excel教程	Powerpoint	Wps教程	Office视频	系统相关	系统工具	杀毒查毒
WEB开发教程	Asp教程	Jsp教程	Php教程	Xml教程	Html教程	CSS教程	CGI-Perl教程	ASP.NET

教程: Linux教程-系统管理-使用netfilter/iptables构建防火墙

class="keylink">局域网内流向外的数据包则都允许通过。第一条规则让所有流出的信息看起来都是来自防火墙机器的，而并不会显示出防火墙后面还有一个局域网。

下面的命令为FORWARD和POSTROUTING链设置缺省的策略，在使用伪装时，有一个缺省的POSTROUTING DROP策略非常重要，否则就可能有心怀恶意的用户突破网关后伪装自己的身份。

# iptables -t filter -P FORWARD DROP
# iptables -t nat -P POSTROUTING DROP

下面的命令为拨号连接设置，它可以动态地分配IP地址：

# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

9．运行服务器时的情况

有时也会把服务器放置在防火墙后面，这时iptables就需要知道从哪儿通过数据包，设置如下所示：

# iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j DNAT -to 192.168.0.10:80
# iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 25 -j DNAT -to 192.168.0.11:25

10．规则的保存

到现在为止，所有的例子都是在命令行中进行的。在测试新的规则时，这是一种很好的方式，但一旦测试结果令人满意，就可以将它们保存为脚本。可以使用 iptables-save 命令来实现：

$ iptables-save > iptables-script

信息包过滤表中的所有规则都被保存在文件iptables-script中。无论何时再次引导系统，都可以使用iptables-restore命令将规则集从该脚本文件恢复到信息包过滤表。恢复命令如下所示：

$ iptables-restore iptables-script

如果愿意在每次引导系统时自动恢复该规则集，则可以将上面指定的这条命令放到任何一个初始化Shell脚本中。

下面的例子并不是一个完整的脚本，它只是描述了如何使用变量及提供了一些附加的规则样例。

#!/bin/sh
#为变量赋值
IPTABLES=/sbin/iptables
LAN_NET="192.168.1.0/24"
IFACE= "eth0"
LO_IFACE="lo"
LO_IP="127.0.0.1"
#加载所需的内核
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_nat
#缺省情况下，IP转发都处于不可用状态，将其设置为可用状态：
echo "1" > /proc/sys/net/ipv4/ip_forward
#使IP的动态分配功能可用
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
#每次重启这个脚本时，最好清除以前所设的规则
$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -F -t nat
#只允许在LAN中使用SSH连接
$IPTABLES -A INPUT -s LAN_NET -p tcp --destination-port ssh -j ACCEPT
#允许loopback!
$IPTABLES -A INPUT -i lo -p all -j ACCEPT
$IPTABLES -A OUTPUT -o lo -p all -j ACCEPT
#丢弃那些流入的宣称是来自本地机器的数据包
#丢弃那些流出的不是出自本地机的数据包
$IPTABLES -A INPUT -i $IFACE -s $LAN_NET -j DROP
$IPTABLES -A OUTPUT -o $IFACE -s ! $LAN_NET -j DROP
#限制一些流出的信息
$IPTABLES -A OUTPUT -o eth0 -p tcp -dport 31337 -j DROP
$IPTABLES -A OUTPUT -o eth0 -p tcp -sport 31337 -j DROP
#此外，31335、27444、27665、20034 NetBus、9704、137-139（smb）端口也应被禁止。

[3]

上一页 [1] [2] [3]

教程录入：admin 责任编辑：admin

上一篇教程：教程: Linux教程-系统管理-安装配置Tomcat Apache mod_jk

下一篇教程：教程: Linux教程-系统管理-Redhat 8.0系统配置命令

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

dos入门教程

dos入门教程-2

dos入门教程-1

\| 设为首页 \| 加入收藏 \| 联系站长 \| 友情链接 \| 版权申明 \| 管理登录 \|
	免责声明!本站资料大部分来自于互联网,其版权归原作者或其他合法者所有.如内容涉及或侵犯了您的权益,请通知本人,我将尽快处理!.欢迎您的光临。辽ICP备07003958号