诚石 » 日志 » 设置一个简单的LINUX NAT防火墙
设置一个简单的LINUX NAT防火墙
Stone 发表于 2006-09-18 19:40:34
操作系统,REDHAT LINUX 9.0,安装操作系统的机器有两张网卡,eth1和eth0
eth1:10.1.0.3 (外网卡)
eth0: 192.168.0.1 (内网卡)
在/etc/rc.d里面touch一个firewall
然后改为可执行 chmod u+x firewall
最后在/etc/rc.d/rc.local加入
vi /etc/rc.d/rc.local
/etc/rc.d/firewall
然后写入策略
[root@proxy rc.d]# vi firewall
#!/bin/sh
echo "1">/proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
/sbin/iptables -F
/sbin/iptables -F -t nat
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 0/0 -d 0/0 -o eth1 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 10.1.0.3 -o eth1 -j SNAT --to 10.1.0.3
/sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 23 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
这是最简单和实用的方法,有防火墙策略,内部局域网的用户可以正常的浏览网页,收发邮件,FTP等等,有需要的朋友可以自己增加和修改.
PS:如果只想开启LINUX的NAT功能,只需要把
/sbin/iptables -P INPUT DROP ------>改成 /sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT DROP ------>改成 /sbin/iptables -P OUTPUT ACCEPT
然后删除掉后面的
/sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 23 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
就可以了.
用LINUX 的iptables做NAT实际使用效率是很高的,这台服务器根本不用担心病毒的问题,如果操作系统需要重新安装,只需要把 /etc/rc.d下的 firewall保存出来,等新系统安装好后再COPY过去就可以了
执行效率和速度绝对比WIN2K-2003 server好得多,相信我,没错地:D
---by 孤零飘客
eth1:10.1.0.3 (外网卡)
eth0: 192.168.0.1 (内网卡)
在/etc/rc.d里面touch一个firewall
然后改为可执行 chmod u+x firewall
最后在/etc/rc.d/rc.local加入
vi /etc/rc.d/rc.local
/etc/rc.d/firewall
然后写入策略
[root@proxy rc.d]# vi firewall
#!/bin/sh
echo "1">/proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
/sbin/iptables -F
/sbin/iptables -F -t nat
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 0/0 -d 0/0 -o eth1 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 10.1.0.3 -o eth1 -j SNAT --to 10.1.0.3
/sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 23 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
这是最简单和实用的方法,有防火墙策略,内部局域网的用户可以正常的浏览网页,收发邮件,FTP等等,有需要的朋友可以自己增加和修改.
PS:如果只想开启LINUX的NAT功能,只需要把
/sbin/iptables -P INPUT DROP ------>改成 /sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT DROP ------>改成 /sbin/iptables -P OUTPUT ACCEPT
然后删除掉后面的
/sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 23 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
就可以了.
用LINUX 的iptables做NAT实际使用效率是很高的,这台服务器根本不用担心病毒的问题,如果操作系统需要重新安装,只需要把 /etc/rc.d下的 firewall保存出来,等新系统安装好后再COPY过去就可以了
执行效率和速度绝对比WIN2K-2003 server好得多,相信我,没错地:D---by 孤零飘客
相关日志:
收藏:
QQ书签
del.icio.us
订阅:
Google
抓虾