当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 一个NAT+SQUID+DNAT+FORWARD+反弹式FIREWALL的例子

Unix/Linux
在RHEL 5上开启远程telnet
如何恢复被删除的LINUX文件
Linux系统常用压缩的解压方法
Linux下限制Root远程登陆
linux系统下LumaQQ的安装和使用
linux系统下rpm包的安装、删除、效验、查询
优化Apache,让网站速度更快
linux 中yum命令的用法
linux系统下查找文件—whereis命令
备份Linux操作系统的几种方法
redhat linux 通过yum自动升级
linux的mount(挂载)命令详解
Linux系统常用磁盘管理命令
用xmanager软件登陆linux的方法
Linux系统GRUB的MD5加密方法
linux常用系统管理经验谈
查看linux版本的三种常用方法
linux系统下vnc 的配置和使用方法
制作linux系统的grub启动光盘
在linux系统下添加新硬盘

Unix/Linux 中的 一个NAT+SQUID+DNAT+FORWARD+反弹式FIREWALL的例子


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 111 ::
收藏到网摘: n/a

  以下是我自己的一个防火墙例子,对大家最近提出的DNAT(端口映射)的问题很有帮助

环境:
ADSL(eth0)网卡启动时不激活
内网(eth1)192.168.0.1/24
代码:

#! /bin/bash
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables -F -t filter
/sbin/iptables -F -t nat
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT

# ALLOW ALL in PRIVATE NET
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -j ACCEPT

# NAT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

# DNAT RADMIN to PRIVATE in platinum.3322.org
/sbin/iptables -A PREROUTING -t nat -p tcp -s ! 192.168.0.0/24 --dport 4899 -j DNAT --to 192.168.0.2:4899
/sbin/iptables -A PREROUTING -t nat -p tcp -s ! 192.168.0.0/24 --dport 5000 -j DNAT --to 192.168.0.3:4899

# SQUID
/sbin/iptables -A PREROUTING -t nat -p tcp -s 192.168.0.0/24 --dport 80 -j DNAT --to 192.168.0.1:3128

# FORWARD edit by Platinum
/sbin/iptables -A FORWARD -p tcp --dport 21 -j ACCEPT    # FTP
/sbin/iptables -A FORWARD -p tcp --dport 22 -j ACCEPT    # SSH
/sbin/iptables -A FORWARD -p udp --dport 53 -j ACCEPT    # DNS
/sbin/iptables -A FORWARD -p tcp --dport 80 -j ACCEPT    # HTTP
/sbin/iptables -A FORWARD -p tcp --dport 443 -j ACCEPT    # HTTPS
/sbin/iptables -A FORWARD -p udp --dport 8000 -j ACCEPT   # QQ
/sbin/iptables -A FORWARD -p tcp --dport 25 -j ACCEPT    # SMTP
/sbin/iptables -A FORWARD -p tcp --dport 110 -j ACCEPT    # POP3
/sbin/iptables -A FORWARD -p tcp --dport 4899 -j ACCEPT    # RADMIN
/sbin/iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT   # MSN (you must allow port 443)
/sbin/iptables -A FORWARD -p icmp -j ACCEPT

# allow the third handshake
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# exchange the other packets' "SOURCE" and "TARGET", and SEND it !!!
/sbin/iptables -A INPUT -j MIRROR


此防火墙适用于静态IP及动态IP地址
原文请参考 http://bbs.chinaunix.net/forum/4/20040622/353019.html