IPTABLES配置實例
發(fā)布日期:2022-07-20 13:25 | 文章來源:站長之家
Iptables配置實例:
Iptables配置的目的,一個是防止公網(wǎng)的入侵,一個是讓內網(wǎng)的兄弟們上網(wǎng)。在沒配IPTABLES之前,只有本機能上網(wǎng)。
Rh8.0的“系統(tǒng)設置”中有個“安全級別” ,它主要是針對本機來說的,不能用它來配置iptables。打開“安全級別”,把它配成“無防火墻”級別。
為了配置、測試方便,可以先用“KWrite”編個“腳本”,采用“復制”、“粘貼”方式,把全部語句一次性粘貼到“終端”里執(zhí)行。這樣修改測試都很方便。
打開“其他”—“輔助設施”中的“KWrite”,將下面的樣本輸入或粘貼到里面(其中,eth0、eth1分別是外、內網(wǎng)卡):
echo "Enable IP Forwarding..."
echo 1 >/proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp ;支持被動FTP
/sbin/modprobe ip_conntrack_ftp ;
/sbin/modprobe ip_conntrack_h323 ;支持NETMEETING
/sbin/modprobe ip_nat_h323 ;
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
/etc/rc.d/init.d/iptables restart
iptables -L
再另存為一個文件放到桌面上,便于使用。
在這個配置里面,INPUT和轉發(fā)FORWARD功能的缺省值都是拒絕(DROP),這意味著在后面的INPUT和FORWARD語句中沒有表明通過(ACCEPT)的都將被拒之門外。這是一個最好的安全模式,經(jīng)過使用賽門鐵克的在線測試,所有公網(wǎng)端口都是隱藏的。注意,所有內網(wǎng)端口都是打開的,本機對內沒有安全可言。
其它的語句我就不多說了,最后一句是顯示配置執(zhí)行后的鏈路結果。
每次修改完后,將整篇語句全部復制,再粘貼到“終端”,它將自動配置、啟動、顯示一次。反復修改、測試,直到達到你的要求。
最后將整篇語句全部復制,再粘貼到“/etc/rc.d/rc.local”文件后面,你的配置開機后也可以自動執(zhí)行了。
Iptables配置的目的,一個是防止公網(wǎng)的入侵,一個是讓內網(wǎng)的兄弟們上網(wǎng)。在沒配IPTABLES之前,只有本機能上網(wǎng)。
Rh8.0的“系統(tǒng)設置”中有個“安全級別” ,它主要是針對本機來說的,不能用它來配置iptables。打開“安全級別”,把它配成“無防火墻”級別。
為了配置、測試方便,可以先用“KWrite”編個“腳本”,采用“復制”、“粘貼”方式,把全部語句一次性粘貼到“終端”里執(zhí)行。這樣修改測試都很方便。
打開“其他”—“輔助設施”中的“KWrite”,將下面的樣本輸入或粘貼到里面(其中,eth0、eth1分別是外、內網(wǎng)卡):
echo "Enable IP Forwarding..."
echo 1 >/proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp ;支持被動FTP
/sbin/modprobe ip_conntrack_ftp ;
/sbin/modprobe ip_conntrack_h323 ;支持NETMEETING
/sbin/modprobe ip_nat_h323 ;
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
/etc/rc.d/init.d/iptables restart
iptables -L
再另存為一個文件放到桌面上,便于使用。
在這個配置里面,INPUT和轉發(fā)FORWARD功能的缺省值都是拒絕(DROP),這意味著在后面的INPUT和FORWARD語句中沒有表明通過(ACCEPT)的都將被拒之門外。這是一個最好的安全模式,經(jīng)過使用賽門鐵克的在線測試,所有公網(wǎng)端口都是隱藏的。注意,所有內網(wǎng)端口都是打開的,本機對內沒有安全可言。
其它的語句我就不多說了,最后一句是顯示配置執(zhí)行后的鏈路結果。
每次修改完后,將整篇語句全部復制,再粘貼到“終端”,它將自動配置、啟動、顯示一次。反復修改、測試,直到達到你的要求。
最后將整篇語句全部復制,再粘貼到“/etc/rc.d/rc.local”文件后面,你的配置開機后也可以自動執(zhí)行了。
版權聲明:本站文章來源標注為YINGSOO的內容版權均為本站所有,歡迎引用、轉載,請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站,禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像,否則將依法追究法律責任。本站部分內容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來,僅供學習參考,不代表本站立場,如有內容涉嫌侵權,請聯(lián)系alex-e#qq.com處理。
相關文章
上一篇: