Iptables配置实例:
Iptables配置的目的,一个是防止公网的入侵,一个是让内网的兄弟们上网。在没配IPTABLES之前,只有本机能上网。
Rh8.0的系统设置中有个安全级别,它主要是针对本机来说的,不能用它来配置iptables。打开安全级别,把它配成无防火墙级别。
为了配置、测试方便,可以先用KWrite编个脚本,采用复制、粘贴方式,把全部语句一次性粘贴到终端里执行。这样修改测试都很方便。
打开其他—辅助设施中的KWrite,将下面的样本输入或粘贴到里面(其中,eth0、eth1分别是外、内网卡):
echo"EnableIPForwarding..."
echo1>/proc/sys/net/ipv4/ip_forward
echo"Startingiptablesrules..."
/sbin/modprobeiptable_filter
/sbin/modprobeip_tables
/sbin/modprobeiptable_nat
/sbin/modprobeip_nat_ftp;支持被动FTP
/sbin/modprobeip_conntrack_ftp;
/sbin/modprobeip_conntrack_h323;支持NETMEETING
/sbin/modprobeip_nat_h323;
iptables-FINPUT
iptables-FFORWARD
iptables-FOUTPUT
iptables-FPOSTROUTING-tnat
iptables-FPREROUTING-tnat
iptables-PINPUTDROP
iptables-PFORWARDDROP
iptables-POUTPUTACCEPT
iptables-AINPUT-ilo-jACCEPT
iptables-AINPUT-ieth1-jACCEPT
iptables-AINPUT-ieth0-mstate--stateESTABLISHED,RELATED-jACCEPT
iptables-AFORWARD-s192.168.0.0/24-jACCEPT
iptables-AFORWARD-ieth0-mstate--stateESTABLISHED,RELATED-jACCEPT
iptables-tnat-APOSTROUTING-oeth0-s192.168.0.0/24-jMASQUERADE
/etc/rc.d/init.d/iptablesrestart
iptables-L
再另存为一个文件放到桌面上,便于使用。
在这个配置里面,INPUT和转发FORWARD功能的缺省值都是拒绝(DROP),这意味着在后面的INPUT和FORWARD语句中没有表明通过(ACCEPT)的都将被拒之门外。这是一个最好的安全模式,经过使用赛门铁克的在线测试,所有公网端口都是隐藏的。注意,所有内网端口都是打开的,本机对内没有安全可言。
其它的语句我就不多说了,最后一句是显示配置执行后的链路结果。
每次修改完后,将整篇语句全部复制,再粘贴到终端,它将自动配置、启动、显示一次。反复修改、测试,直到达到你的要求。
最后将整篇语句全部复制,再粘贴到/etc/rc.d/rc.local文件后面,你的配置开机后也可以自动执行了。