快捷搜索:   nginx
笨牛网>服务器>Linux> > Linux iptables防火墙设置与NAT服务配置(2) >

Linux iptables防火墙设置与NAT服务配置(2)

发布者: 笨牛网编辑 围观 点赞:0

① 打开内核的路由功能。要实现NAT功能,首先要将文件/proc/sys/net/ipv4/ip_forward设置为1(默认是0),才能打开内核的路由功能。具体的命令如下。
echo "1">/proc/sys/net/ipv4/ip_forward
② 实现IP伪装。在nat表中的POSTROUTING链加入一条规则,这条规则的内容是所有由ppp0接口送出的包会被伪装(MASQUERADE),这样就能使用iptables实现NAT命令了。具体的命令如下。。
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
(五).NAT客户端的配置
1.Linux中NAT客户端的配置
(1)设置默认网关的IP地址
编辑文件/etc/sysconfig/network,然后使用GATEWAY选项来指定默认网关的IP地址。
② 设置DNS服务器的IP地址
在Linux中配置DNS客户端的方法很简单,可直接编辑文件/etc/resolv.conf,然后使用nameserver选项来指定DNS服务器的IP地址 。
2.Windows 2000/XP/2003中NAT客户端的配置
(六).启动时自动拨号和配置NAT服务器
为了能让Linux服务器在启动后自动拨号和配置NAT服务器,可添加以下命令到/etc/rc.d/rc.local文件的末尾(后面介绍iptables的技巧实例,也可以添加到这个文件中)。
/sbin/adsl-start
echo "1">/proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
七.iptables技巧实例
(一).禁止客户机访问不健康网站
【例1】添加iptables规则禁止用户访问域名为www.playboy.com的网站,然后查看filter表的FORWARD链规则列表。
iptables -I FORWARD -d www.playboy.com -j DROP
iptables -t filter -L FORWARD
【例2】添加iptables规则禁止用户访问IP地址为202.17.61.4的网站,然后查看filter表的FORWARD链规则列表。
iptables -I FORWARD -d 202.17.61.4 -j DROP
iptables -t filter -L FORWARD
(二).禁止某些客户机上网
【例1】添加iptables规则禁止IP地址为192.168.1.200的客户机上网,然后查看filter表的FORWARD链规则列表。
iptables -I FORWARD -s 192.168.1.200 -j DROP
iptables -t filter -L FORWARD
【例2】添加iptables规则禁止192.168.2.0子网里所有的客户机上网,然后查看filter表的FORWARD链规则列表。
iptables -I FORWARD -s 192.168.2.0/24 -j DROP
iptables -t filter -L FORWARD
(三).禁止客户机访问某些服务
【例1】禁止192.168.1.0子网里所有的客户机使用FTP协议下载(即封闭TCP协议的21端口),然后查看filter表的FORWARD链规则列表。
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 21 -j DROP
iptables -t filter -L FORWARD
【例2】禁止192.168.1.0子网里所有的客户机使用Telnet协议连接远程计算机(即封闭TCP协议的23端口),然后查看filter表的FORWARD链规则列表。
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 23 -j DROP
iptables -t filter -L FORWARD
(四).强制访问指定的站点
【例】强制所有的客户机访问210.21.118.68这台Web服务器,然后查看nat表的PREROUTING链规则列表。
iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 210.21.118.68:80
iptables -t nat -L PREROUTING
(五).禁止客户机使用QQ
iptables -I FORWARD -p tcp --dport 8000 -j DROP
iptables -I FORWARD -p udp --dport 8000 -j DROP
iptables -I FORWARD -d tcpconn.tencent.com -j DROP

顶(0)
踩(0)
搜索相关内容】[打印] [关闭]

您可能还会对下面的文章感兴趣:

相关文章

最新评论