Centos6.3利用iptables配置网关防火墙-创新互联

系统环境:centos6.3 x64

为义县等地区用户提供了全套网页设计制作服务,及义县网站建设行业解决方案。主营业务为成都网站设计、网站建设、义县网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!

IPTABLES:系统自带

一.部署环境:

1.关闭SELINUX

# setenforce 0

# vi /etc/sysconfig/selinux

---------------

SELINUX=disabled

---------------

2.清空默认策略并重启iptables

# iptables -t NAT -F

# iptables -F

# service iptables save

# service iptables restart

3.开启服务器端路由转发功能

# vi /etc/sysctl.conf

---------------------

net.ipv4.ip_forward = 1

---------------------

# sysctl -p

本例我们模拟一个WEB站点,只在防火墙处开启SSH:22和WEB:80端口,并配置防火墙到内网服务器22与80的端口映射,若开启其他端口服务,请自行修改

Centos6.3利用iptables配置网关防火墙

二.网关防火墙iptables配置:

1.内部回环网络永远打开.

# iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT

# iptables -A OUTPUT -o lo -s 127.0.0.1 -j ACCEPT

2.用DNAT做端口映射:

# iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 22 -j DNAT --to 192.168.100.10

# iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j DNAT --to 192.168.100.10

# 用SNAT作源地址转换(关键),以使回应包能正确返回

# iptables -t nat -A POSTROUTING -d 192.168.100.10 -p tcp --dport 22  -j SNAT --to 192.168.100.1

# iptables -t nat -A POSTROUTING -d 192.168.100.10 -p tcp --dport 80  -j SNAT --to 192.168.100.1

3.打开FORWARD链的相关端口(路由转发)

# iptables -A FORWARD -o eth2 -d 192.168.100.10 -p tcp --dport 22 -j ACCEPT

# iptables -A FORWARD -i eth2 -s 192.168.100.10 -p tcp --sport 22 -m state --state

ESTABLISHED,RELATED -j ACCEPT

# iptables -A FORWARD -o eth2 -d 192.168.100.10 -p tcp --dport 80 -j ACCEPT

# iptables -A FORWARD -i eth2 -s 192.168.100.10 -p tcp --sport 80 -m state --state

ESTABLISHED,RELATED -j ACCEPT

4.子网接受其他的tcp包.

# iptables -A FORWARD -p tcp -i eth2 -o eth0 -j ACCEPT

5.子网可以访问其他UDP协议的公网服务.

# iptables -A FORWARD -p udp -i eth0 -s 192.168.0.0/24 -o eth2  -j ACCEPT

# iptables -A FORWARD -p udp -i eth2 -d 192.168.0.0/24 -o eth0 -m state --state ESTABLISHED -j ACCEPT

6.子网访问公网的模式是伪装成网关的地址,使内网用户可路由出外网

# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE

7.拒绝其他所有策略:

# iptables -P FORWARD REJECT

# iptables -A INPUT -j REJECT

# iptables -P OUTPUT REJECT

8.保存并重启服务:

# service iptables save

# service iptables restart

----------配置完毕-----------

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


分享文章:Centos6.3利用iptables配置网关防火墙-创新互联
本文链接:http://hbruida.cn/article/cojgss.html