編輯/etc/rc.local,加入iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE,外網口eth1爲dhcp獲得IP。
進入本機的數據包爲INPUT,從本機發送出去的數據包爲OUTPUT,只是路由的包爲FORWARD;防火牆就是基於這3個過濾點來操作的。
對於包的操作有:目標(Target)、丟棄(DROP)、接受(ACCEPT)、彈回(REJECT)、日誌(LOG)……等等,比如iptables -A INPUT -p icmp -j DROP(-A代表添加到的過濾點 -p針對的協議類型;此條命令的作用是禁ping),通常是拒絕所有,再一個一個的打開。
iptables -F 清空所有規則
iptables -A INPUT -p tcp -d 10.0.0.1 –dport 21 -j DROP (本機地址爲10.0.0.1,此條規則爲拒絕所有發送到本機TCP 21端口的數據包,即關閉FTP服務)
iptables -A INPUT -p tcp -s 10.0.0.1 –dport 21 -j DROP (此條規則爲拒絕所有發送至10.0.0.1的TCP 21端口的數據包)
==================================
(本機,即服務器的地址爲10.0.0.1)
iptables -A INPUT -p tcp -d 10.0.0.1 –dport 22 -j ACCEPT #允許別人訪問22端口
iptables -A OUTPUT -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT #和自己建立過22端口連接的包纔給與迴應,防止病毒利用22端口,不允許本地22端口主動產生包發出去
iptables -A INPUT -p tcp –sport 22 -m state –state ESTABLISHED -j ACCPET #只接收ssh服務迴應自己SSH請求的迴應包
iptables -P INPUT DROP #丟棄所有的input包
iptables -P OUTPUT DROP #丟棄所有的OUTPUT包
iptables -P FORWARD DROP #丟棄所有的FORWARD包
iptables -L -n #查看所有鏈路信息,如果再加“–line-numbers”則顯示編號
iptables -A INPUT -p tcp -d 10.0.0.1 –dport 80 -j ACCEPT #允許別人訪問80端口
iptables -A OUTPUT -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT #和自己建立過80端口連接的包纔給與迴應,防止病毒利用80端口,不允許本地80端口主動產生包發出去
iptables -A OUTPUT -p udp -s 10.0.0.1 –dport 53 -j ACCEPT #允許向DNS服務器發送同步數據包
iptables -A OUTPUT -p udp –sport 53 -j ACCEPT #對於自己53端口發送的請求包通過(自己是DNS服務器時)
iptables -A INPUT-p udp –dport 53 -j ACCEPT #允許別人訪問自己的53端口(自己是DNS服務器時)
iptables -A INPUT -p udp –sport 53 -j ACCEPT #允許接收DNS服務器的返回包
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允許自己通過環回口訪問自己的所有服務
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允許自己通過環回口訪問自己的所有服務
iptables -I INPUT 1 -p tcp –dport 22 -j LOG –log-level 5 –log-prefix “iptables:” #爲22端口的INPUT包增加日誌功能,插在input的第1個規則前面,一定要保證在提交到日誌之前,沒有相同接收或者丟棄包
vi /etc/syslog.conf #編輯日誌配置文件,添加kern.=notice /var/log/firewall.log(log-level 5爲notice,詳情man syslog)
service syslog restart #重啓日誌服務
tail /var/log/firewall.log -f #查看日誌
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT #從局域網發給互聯網的包全部轉發
iptables -A FORWARD -d 10.0.0.0/24 -j ACCEPT #從互聯網發送給局域網的包全部轉發
還需要打開/proc/sys/net/ipv4/ip_forward 讓裏面的值變爲1(默認值是0),打開轉發,此方法是臨時生效
vi /ect/sysctl.conf #打開系統配置文件,編輯net.ipv4.ip_forward = 1,此方法是永久生效
iptables -t nat -L -n #查看iptables的nat表
service iptables save #永久性的保存規則,等同於iptables-save > /etc/sysconfig/iptables