当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > IPTABLES配置实例

Unix/Linux
磁带驱动器的使用
Linux 指令篇:起始管理--shutdown
Linux Shadow-Password-HOWTO - 6. upgrade或patc
Linux Shadow-Password-HOWTO - 2. 为何shadow你的pa
Linux Shadow-Password-HOWTO - 4. 编译程式
Ethernet HOWTO Linux以太网-HOWTO (6)技术信息
Ethernet HOWTO Linux以太网-HOWTO (7)笔记本电脑联网
Ethernet HOWTO Linux以太网-HOWTO (4)型号的信息
Ethernet HOWTO Linux以太网-HOWTO (5)电缆、同轴电缆、双绞线
Jaz-drive HOWTO -- 4. Jaz 磁片的用法
Jaz-drive HOWTO -- 5. Linux 上的 Jaz 工具软件
Jaz-drive HOWTO -- 6. 从 Jaz 磁片启动系统
LILO, Linux Crash Rescue HOWTO LILO 毁损,无法开机
Printing Usage HOWTO 如何使用打印机-1. 导言
Printing Usage HOWTO 如何使用打印机-2. 打印文档
Printing Usage HOWTO 如何使用打印机-3.文档类别
Printing Usage HOWTO 如何使用打印机-4. 杂项
Printing Usage HOWTO 如何使用打印机-5. 常见问题
Printing Usage HOWTO 如何使用打印机-6. 参考材料
Linux Shadow-Password-HOWTO - 1. 简介

Unix/Linux 中的 IPTABLES配置实例


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2010-01-16   浏览: 91 ::
收藏到网摘: n/a

Iptables配置实例: 
Iptables配置的目的,一个是防止公网的入侵,一个是让内网的兄弟们上网。在没配IPTABLES之前,只有本机能上网。 
Rh8.0的“系统设置”中有个“安全级别” ,它主要是针对本机来说的,不能用它来配置iptables。打开“安全级别”,把它配成“无防火墙”级别。 
为了配置、测试方便,可以先用“KWrite”编个“脚本”,采用“复制”、“粘贴”方式,把全部语句一次性粘贴到“终端”里执行。这样修改测试都很方便。 
打开“其他”—“辅助设施”中的“KWrite”,将下面的样本输入或粘贴到里面(其中,eth0、eth1分别是外、内网卡): 
echo "Enable IP Forwarding..." 
echo 1 >/proc/sys/net/ipv4/ip_forward 
echo "Starting iptables rules..." 
/sbin/modprobe iptable_filter 
/sbin/modprobe ip_tables 
/sbin/modprobe iptable_nat 
/sbin/modprobe ip_nat_ftp ;支持被动FTP 
/sbin/modprobe ip_conntrack_ftp ; 
/sbin/modprobe ip_conntrack_h323 ;支持NETMEETING 
/sbin/modprobe ip_nat_h323 ; 
iptables -F INPUT 
iptables -F FORWARD 
iptables -F OUTPUT 
iptables -F POSTROUTING -t nat 
iptables -F PREROUTING -t nat 
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT ACCEPT 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A INPUT -i eth1 -j ACCEPT 
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT 
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE 
/etc/rc.d/init.d/iptables restart 
iptables -L 
再另存为一个文件放到桌面上,便于使用。 
在这个配置里面,INPUT和转发FORWARD功能的缺省值都是拒绝(DROP),这意味着在后面的INPUT和FORWARD语句中没有表明通过(ACCEPT)的都将被拒之门外。这是一个最好的安全模式,经过使用赛门铁克的在线测试,所有公网端口都是隐藏的。注意,所有内网端口都是打开的,本机对内没有安全可言。 
其它的语句我就不多说了,最后一句是显示配置执行后的链路结果。 
每次修改完后,将整篇语句全部复制,再粘贴到“终端”,它将自动配置、启动、显示一次。反复修改、测试,直到达到你的要求。 
最后将整篇语句全部复制,再粘贴到“/etc/rc.d/rc.local”文件后面,你的配置开机后也可以自动执行了。