2010年10月28日星期四
iptables配置实例
1、只允许在192.168.62.1上使用ssh远程登录,从其它计算机上禁止使用ssh
#iptables -A INPUT -s 192.168.62.1 -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --dport 22 -j DROP
2、禁止本机代理服务
#iptables -A INPUT -p tcp --dport 3128 -j REJECT
3、除192.168.62.1外,禁止其它人ping我的主机
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 202.96.134.130:80
#iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j DNAT --to-destination 202.96.134.130:80
#iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000
#iptables -t nat -A POSTROUTING -o eth1 -p udp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000
5、发布内部网络服务器
要使因特网上的计算机访问到内部网的FTP服务器、WEB服务器,在做为防火墙的计算机上应添加以下规则:
#echo 1 > /proc/sys/net/ipv4/ip_forward
#发布内部web服务器
#iptables -t nat -A PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 --dport 80 -j DNAT --to-destination 192.168.52.15:80
#iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.52.15 --sport 80 -j SNAT --to-source 202.96.134.10:20000-30000
发布内部网ftp服务器
iptables -t nat -A PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 --dport 21 -j DNAT --to-destination 192.168.52.14:21
iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.52.14 --sport 21 -j SNAT --to-source 202.96.134.10:40000-50000
#iptables -A INPUT -p tcp --dport 3128 -j REJECT
3、除192.168.62.1外,禁止其它人ping我的主机
#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type echo-request -j ACCEPT
#iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request –j DROP
#iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request –j DROP
或
#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT
#iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
4、DNAT和SNAT。
#iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
4、DNAT和SNAT。
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 202.96.134.130:80
#iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j DNAT --to-destination 202.96.134.130:80
#iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000
#iptables -t nat -A POSTROUTING -o eth1 -p udp --dport 80 -s 192.168.52.0/24 -j SNAT --to-source 202.96.134.10:20000-30000
5、发布内部网络服务器
要使因特网上的计算机访问到内部网的FTP服务器、WEB服务器,在做为防火墙的计算机上应添加以下规则:
#echo 1 > /proc/sys/net/ipv4/ip_forward
#发布内部web服务器
#iptables -t nat -A PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 --dport 80 -j DNAT --to-destination 192.168.52.15:80
#iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.52.15 --sport 80 -j SNAT --to-source 202.96.134.10:20000-30000
发布内部网ftp服务器
iptables -t nat -A PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 --dport 21 -j DNAT --to-destination 192.168.52.14:21
iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.52.14 --sport 21 -j SNAT --to-source 202.96.134.10:40000-50000
// 发贴者:放牛娃的春天 @ 十月 28, 2010 
订阅 博文 [Atom]