江疏影邮轮视频,唐嫣的视频

簡(jiǎn)釋iptables防火墻(轉(zhuǎn))

2007.11.26

一般LINUX防火墻（iptalbes）的運(yùn)用無(wú)非是用nat 表（PREROUTING、OUTPUT、POSTROUTING）和filter表(FORWARD、INPUT、OUTPUT)。我們只有知道了數(shù)據(jù)的流向才能正確的配置防火墻。現(xiàn)用一個(gè)相對(duì)比較直觀的圖形解釋數(shù)據(jù)的走向。

（此處只作最基本的iptables數(shù)據(jù)流走向說(shuō)明。）

上圖是你的家，藍(lán)色的圈是你家院子，有兩扇大門(mén)①⑥進(jìn)出，你家有兩個(gè)房間，分別為eth0和 eth1房間，每個(gè)房間有兩個(gè)門(mén)可以進(jìn)出②③④⑤。旁邊是張三和李四的家，張三家和李四家之間的往返必須要過(guò)你家院子。

現(xiàn)假設(shè)，eth0網(wǎng)卡IP為：192.168.5.1鏈接內(nèi)網(wǎng)，eth1網(wǎng)卡IP為：218.100.100.111鏈接互連網(wǎng)。

再假設(shè)，“張三家”為一個(gè)局域網(wǎng)，“李四家”為互連網(wǎng)。進(jìn)我家院子用PREROUTING，出我家院子用FORWARD，進(jìn)我家門(mén)用INPUT，出我家門(mén)用OUTPUT。（當(dāng)我們的操作是征對(duì)服務(wù)器本身而言的話，如SSH操作，此時(shí)肯定會(huì)用到PREROUTING、INPUT和OUTPUT，當(dāng)數(shù)據(jù)只是通過(guò)服務(wù)器去訪問(wèn)別的機(jī)器時(shí)會(huì)用到PREROUTING和FORWARD。）

又假設(shè)，默認(rèn)這六個(gè)門(mén)都是關(guān)的。生成如下代碼。

###########################################################################

*nat

################################

:PREROUTING DROP [0:0]

:OUTPUT DROP [0:0]

:POSTROUTING DROP [0:0]

################################

-F

-Z

-X

### 以后要新增語(yǔ)句請(qǐng)?jiān)诖颂幵黾印?div style="height:15px;">

-L –v

COMMIT

################################################

*filter

##############################

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

##############################

-F

-Z

-X

### 以后要新增語(yǔ)句請(qǐng)?jiān)诖颂幵黾印?div style="height:15px;">

-L –v

COMMIT

##########################################################################

即從張三家到李四家)

1)首先進(jìn)①號(hào)門(mén)，再?gòu)蘑尢?hào)門(mén)走出。

-A PREROUTING –p tcp --dport 80 –j ACCEPT #允許TCP 80端口通過(guò)服務(wù)器

-A FORWARD –p tcp --dport 80 –j ACCEPT #允許TCP80 端口轉(zhuǎn)發(fā)

-A FORWARD –p tcp --sport 80 –j ACCEPT #允許接收對(duì)方為T(mén)CP80端口反回的信息

2)其次，由于我們上網(wǎng)打的是域名，為此有一個(gè)公網(wǎng)DNS服務(wù)器為我們服務(wù)，那當(dāng)然也要允許內(nèi)網(wǎng)機(jī)器與DNS服務(wù)器的數(shù)據(jù)轉(zhuǎn)發(fā)。DNS用UDP 53或者 TCP 53端口。兩者用其一個(gè)就行。

-A PREROUTING –p udp --dport 53 –j ACCEPT

-A FORWARD –p udp --dport 53 –j ACCEPT

-A FORWARD –p udp --sport 53 –j ACCEPT

3）再次，由于局域網(wǎng)的地址在公網(wǎng)上是不被允許的，所以在出公網(wǎng)前應(yīng)該把其地址轉(zhuǎn)為服務(wù)器地址進(jìn)行偽裝。

-A POSTROUTING –s 192.168.5.0/24 –j SNAT –to 218.100.100.111

采用默認(rèn)端口TCP 22 。此要求相當(dāng)于要進(jìn)我的家的TCP 22號(hào)門(mén)，為此我們首先要進(jìn)我家院子，然后再進(jìn)我家門(mén)，最后走出我家門(mén)這樣的過(guò)程。此操作是征對(duì)服務(wù)器本身的操作。

-A PREROUTING –p tcp --dport 22 –j ACCEPT

-A INPUT –p tcp --dport 22 –j ACCEPT

-A OUTPUT –p tcp --sport 22 –j ACCEPT

和QQ。

和QQ默認(rèn)是不允許登錄的）QQ一般來(lái)說(shuō)可以從TCP 80、8000、443及UDP 8000、4000登錄，而MSN可以從TCP 1863、443登錄。我們登錄MSN和QQ的過(guò)程就象上網(wǎng)一樣，也是去訪問(wèn)遠(yuǎn)程服務(wù)器的指定端口，故而我們只用數(shù)據(jù)轉(zhuǎn)發(fā)即可。

-A PREROUTING –p tcp --dport 1863 –j ACCEPT

-A PREROUTING –p tcp --dport 443 –j ACCEPT

-A PREROUTING –p tcp --dport 8000 –j ACCEPT

-A PREROUTING –p udp --dport 8000 –j ACCEPT

-A PREROUTING –p udp --dport 4000 –j ACCEPT

-A FORWARD –p tcp --dport 1863 –j ACCEPT

-A FORWARD –p tcp --sport 1863 –j ACCEPT

-A FORWARD –p tcp --dport 443 –j ACCEPT

-A FORWARD –p tcp --sport 443 –j ACCEPT

-A FORWARD –p tcp --dport 8000 –j ACCEPT

-A FORWARD –p tcp --sport 8000 –j ACCEPT

-A FORWARD –p udp --dport 8000 –j ACCEPT

-A FORWARD –p udp --sport 8000 –j ACCEPT

-A FORWARD –p udp --dport 4000 –j ACCEPT

-A FORWARD –p udp --sport 4000 –j ACCEPT

接收郵件是訪問(wèn)遠(yuǎn)程服務(wù)器的TCP 110端口，發(fā)送郵件是訪問(wèn)TCP25端口。用數(shù)據(jù)轉(zhuǎn)發(fā)即可。

-A PREROUTING –p tcp --dport 110 –j ACCEPT

-A PREROUTING –p tcp --dport 25 –j ACCEPT

-A FORWARD –p tcp --dport 110 –j ACCEPT

-A FORWARD –p tcp --sport 110 –j ACCEPT

-A FORWARD –p tcp --dport 25 –j ACCEPT

-A FORWARD –p tcp --sport 25 –j ACCEPT

。

要把內(nèi)網(wǎng)機(jī)器192.168.5.179的WEB對(duì)外發(fā)布的話，相當(dāng)于是從外網(wǎng)訪問(wèn)內(nèi)網(wǎng)。與第1步操作的局域網(wǎng)共享上網(wǎng)相同，只是訪問(wèn)的方向改變了。不是從內(nèi)網(wǎng)訪問(wèn)外網(wǎng)，而是從外網(wǎng)訪問(wèn)內(nèi)網(wǎng)。

當(dāng)公網(wǎng)訪問(wèn)服務(wù)器218.100.100.111時(shí)，防火墻把它映射到內(nèi)網(wǎng)的192.168.5.179的TCP80上。當(dāng)內(nèi)網(wǎng)機(jī)器訪問(wèn)服務(wù)器218.100.100.111時(shí)，防火墻把它映射到內(nèi)網(wǎng)的192.168.5.179的TCP80上。

-A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT --to-destination 192.168.5.179:80

-A PREROUTING –i eth1 –p tcp –d 218.100.100.111 –dport 80 –j DNAT –to-destination 192.168.5.179:80

（以上兩句必須寫(xiě)在 –A PREROUTING –p tcp --dport 80 –j ACCEPT 前面。）

TCP 80端口的轉(zhuǎn)發(fā)在第1步就已做過(guò)，此處就不用重復(fù)制作了。另外在

-A POSTROUTING –s 192.168.5.0/24 –j SNAT –to 218.100.100.111 之后加上一句:

-A POSTROUTING –p tcp --dport 80 –j ACCEPT

為什么要加這句話呢，我的理解是這樣的，

公網(wǎng)訪問(wèn)http://218.100.100.111時(shí)：（假設(shè)公網(wǎng)上用戶的IP為199.199.199.199,端口12345為隨機(jī)的產(chǎn)生的。）

數(shù)據(jù)源： ip:199.199.199.199 sport:12345

數(shù)據(jù)目標(biāo)： ip:218.100.100.111 dport 80

此時(shí)，通過(guò)-A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT --to-destination 192.168.5.179:80 告訴199.199.199.199,您要訪問(wèn)的真正地址應(yīng)該是192.168.5.179:80,然后我們通過(guò)-A POSTROUTING –p tcp --dport 80 –j ACCEPT 目標(biāo)地址218.100.100.111:80偽裝成 192.168.5.179:80 。

數(shù)據(jù)源： ip:199.199.199.199 sport:12345

數(shù)據(jù)目標(biāo)： ip:192.168.5.179 dport 80

當(dāng)192.168.5.179返回?cái)?shù)據(jù)時(shí)：

數(shù)據(jù)源： ip:192.168.5.179 sport:80

數(shù)據(jù)目標(biāo)： ip:199.199.199.199 dport 12345

數(shù)據(jù)經(jīng)過(guò) -A POSTROUTING –s 192.168.5.0/24 –j SNAT –to 218.100.100.111 后，

數(shù)據(jù)源： ip:218.100.100.111 sport:80

數(shù)據(jù)目標(biāo)： ip:199.199.199.199 dport 12345

配置

*nat

################################

:PREROUTING DROP [0:0]

:OUTPUT DROP [0:0]

:POSTROUTING DROP [0:0]

################################

-F

-Z

-X

-A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT --to-destination 192.168.5.179:80

-A PREROUTING –i eth1 –p tcp –d 218.100.100.111 --dport 80 –j DNAT –to-destination 192.168.5.179:80

-A PREROUTING –p tcp --dport 80 –j ACCEPT

-A PREROUTING –p udp --dport 53 –j ACCEPT

-A PREROUTING –p tcp --dport 22 –j ACCEPT

-A PREROUTING –p tcp --dport 1863 –j ACCEPT

-A PREROUTING –p tcp --dport 443 –j ACCEPT

-A PREROUTING –p tcp --dport 8000 –j ACCEPT

-A PREROUTING –p udp --dport 8000 –j ACCEPT

-A PREROUTING –p udp --dport 4000 –j ACCEPT

-A PREROUTING –p tcp --dport 110 –j ACCEPT

-A PREROUTING –p tcp --dport 25 –j ACCEPT

-A POSTROUTING –s 192.168.5.0/24 –j SNAT –to 218.100.100.111

-A POSTROUTING –p tcp --dport 80 –j ACCEPT

-L –v

COMMIT

################################################

*filter

##############################

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

##############################

-F

-Z

-X

-A INPUT –p tcp --dport 22 –j ACCEPT

-A OUTPUT –p tcp --sport 22 –j ACCEPT

-A FORWARD –p tcp --dport 80 –j ACCEPT

-A FORWARD –p tcp --sport 80 –j ACCEPT

-A FORWARD –p udp --dport 53 –j ACCEPT

-A FORWARD –p udp --sport 53 –j ACCEPT

-A FORWARD –p tcp --dport 1863 –j ACCEPT

-A FORWARD –p tcp --sport 1863 –j ACCEPT

-A FORWARD –p tcp --dport 443 –j ACCEPT

-A FORWARD –p tcp --sport 443 –j ACCEPT

-A FORWARD –p tcp --dport 8000 –j ACCEPT

-A FORWARD –p tcp --sport 8000 –j ACCEPT

-A FORWARD –p udp --dport 8000 –j ACCEPT

-A FORWARD –p udp --sport 8000 –j ACCEPT

-A FORWARD –p udp --dport 4000 –j ACCEPT

-A FORWARD –p udp --sport 4000 –j ACCEPT

-A FORWARD –p tcp --dport 110 –j ACCEPT

-A FORWARD –p tcp --sport 110 –j ACCEPT

-A FORWARD –p tcp --dport 25 –j ACCEPT

-A FORWARD –p tcp --sport 25 –j ACCEPT

-L –v

COMMIT

##########################################################################

1)在使用iptables防火墻之前，必須先打開(kāi)IP轉(zhuǎn)發(fā)功能。

# echo “1” > /proc/sys/net/ipv4/ip_forward

2)以上內(nèi)容（第6步生成的內(nèi)容）保存到 /etc/sysconfig/iptables文件中。

3）每修改一次iptables文件后，都要重啟iptalbes

# service iptables restart

發(fā)表于： 2007-05-14，修改于： 2007-07-23 21:14 已瀏覽339次，有評(píng)論1條推薦投訴

from site : http://blog.chinaunix.net/u/24866/showart_300718.html

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。

iptables詳解加實(shí)例

Linux系列-Red Hat5平臺(tái)下的Iptables防火墻應(yīng)用（一）翻出老家底——咱們來(lái)學(xué)Iptables

iptables防火墻配置詳解

Iptables 應(yīng)用解析II

iptables 原理及應(yīng)用詳解（轉(zhuǎn)）

CentOS下配置防火墻配置nat轉(zhuǎn)發(fā)服務(wù)

更多類似文章 >>

国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看