echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F iptables -F -t nat iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.2/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -A INPUT –j ACCEPT iptables -A OUTPUT -j ACCEPT iptables -A FORWARD -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.1.106/16 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.3/16 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.5/16 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.7/16 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.101/16 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.122/16 -j MASQUERADE 再就是流量限制,回家看看以前的笔记。
http://
bbs.chinaunix.net/forum/38/050528/552404.html
基本概念 典型的防火墙设置有两个网卡:一个流入,一个流出。iptables读取流入和流出数据包的报头,将它们与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被拒绝的数据包,可以丢弃或按照所定义的方式来处理。 通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的
信息包要做些什么的指令,规则控制
信息包的过滤。通过使用iptables系统提供的特殊命令iptables建立这些规则,并将其添加到内核空间特定
信息包过滤表内的链中。关于添加、去除、编辑规则的命令,一般语法如下: iptables [-t table] command [match] [target] 1.表(table) [-t table]选项允许使用标准表之外的任何表。表是包含仅处理特定类型
信息包的规则和链的
信息包过滤表。有三个可用的表选项:filter、nat和mangle。该选项不是必需的,如果未指定,则filter作为缺省表。各表实现的功能如表1所示。 表1 三种表实现的功能 http://tech.ccidnet.com/pub/attachment/2004/3/278843.jpg 2.命令(command) command部分是iptables命令最重要的部分。它告诉iptables命令要做什么,例如插入规则、将规则添加到链的末尾或删除规则。表2是最常用的一些命令及例子。 表2 命令的功能和样例 http://tech.ccidnet.com/pub/attachment/2004/3/278844.jpg 3.匹配(match) iptables命令的可选match部分指定
信息包与规则匹配所应具有的特征(如源地址、目的地址、协议等)。匹配分为通用匹配和特定于协议的匹配两大类。这里将介绍可用于采用任何协议的
信息包的通用匹配。表3是一些重要且常用的通用匹配及示例说明。 表3 通用匹配及示例说明 http://tech.ccidnet.com/pub/attachment/2004/3/278845.jpg 4.目标(target) 目标是由规则指定的操作,对与那些规则匹配的
信息包执行这些操作。除了允许用户定义的目标之外,还有许多可用的目标选项。表4是常用的一些目标及示例说明。 除表4外,还有许多用于建立高级规则的其它目标,如LOG、REDIRECT、MARK、MIRROR和MASQUERADE等。 表4 目标及示例说明 http://tech.ccidnet.com/pub/attachment/2004/3/278846.jpg应用iptables 与ipchains和ipfwadm不同的是,iptables可以配置有状态的防火墙。iptables可以检测到源地址和目的地址、源端口和目的端口及流入数据包的顺序,即iptables记住了在现有连接中,哪些数据包已经被允许接收。这使得暂时性的端口只有在需要时才会被打开,并且会拒绝所有永久性占用端口的请求,大大地加强了安全性。同时,那些被更改了报头的数据包,即使包含有一个被允许的目的地址和端口,也会被检测到并被丢弃。此外,有状态的防火墙能够指定并记住为发送或接收
信息包所建立连接的状态。防火墙可以从
信息包的连接跟踪状态获得该
信息。在决定新的
信息包过滤时,防火墙所使用的这些状态
信息可以增加其效率和速度。 1.启动和停止iptables 下面将正式使用iptables来创建防火墙。启动和停止iptables的方法取决于所使用的Linux发行版,可以先查看所使用Linux版本的文档。 一般情况下,iptables已经包含在Linux发行版中,运行iptables --version来查看系统是否安装了iptables。在Red Hat 9.0中,安装的版本是iptables v1.2.7a。如果系统没有安装iptables,则可以从http://www.netfilter.org下载。 2.查看规则集 上面仅对iptables的用法做了一个简单介绍,使用中可以运行man iptables来查看所有命令和选项的完整介绍,或者运行iptables -help来查看一个快速帮助。要查看系统中现有的iptables规划集,可以运行以下命令: iptables --list 下面是没有定义规划时iptables的样子: Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 如上例所示,每一个数据包都要通过三个内建的链(INPUT、OUTPUT和FORWARD)中的一个。 filter是最常用的表,在filter表中最常用的三个目标是ACCEPT、DROP和REJECT。DROP会丢弃数据包,不再对其进行任何处理。REJECT会把出错
信息传送至发送数据包的主机。 图1 Red Hat 9.0中安全设置的GUI工具 http://tech.ccidnet.com/pub/attachment/2004/3/278847.gif 在Red Hat 9.0中,提供一个GUI程序来让用户对系统的安装级别进行简单的配置。该工具的启动方法是:主选单→系统设置→安全工具(如图1所示)。在此将安全级别设为“高级”,并选择使用默认的防火墙规则。点击确定后,再用iptables -list显示,发现iptables与没有定义规则前已经有很大不同,如下所示: [root@workstation root]# iptables --list Chain INPUT (policy ACCEPT) target prot opt source destination RH-Lokkit-0-50-INPUT all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination RH-Lokkit-0-50-INPUT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination ...... 现实中一般不使用这个GUI工具,因为它的功能有限,也不够透明。相比较而言,SuSE 9.0中相应的配置工具要好得多,它可以在GUI下对防火墙进行更
