dcsimg

使用iptables构建防火墙,第2部分-第2页

 By 卡拉·施罗德
第2页,共3页  |   返回第1页

共享互联网连接

网络地址转换/ IP伪装允许在多个主机之间共享单个Internet连接-例如,具有Linux和Windows系统的混合LAN。假设有两个NIC和一个可路由的静态IP地址的防火墙。 eth0是“公共” NIC,eth1是“私有” NIC。换句话说,为eth0分配了静态的,可路由的IP,而为eth1分配了一个私有的,不可路由的IP,它属于LAN子网。我们需要向nat和filter表添加链:

#iptables -t nat -A写信-o eth0 -j伪装
#iptables -t过滤器-A 前锋 -i eth0 -o eth1 -m state --state相关,已确定-j ACCEPT
#iptables -t过滤器-A 前锋 -i eth1 -o eth0 -j ACCEPT

这说明了状态数据包检查的巨大价值。注意如何只允许属于现有连接的传入数据包。来自LAN的所有出站数据包都允许通过。 (注意: 过滤 是默认表;不必显式命名它。第一个规则使所有传出的流量看起来好像仅来自防火墙计算机,而没有迹象表明整个LAN都潜伏在其中。

本示例设置了默认策略 前锋 后伸 链。设置默认值很重要 后降落 伪装时的政策;否则,恶意用户就有可能通过您的网关建立隧道并伪装自己的身份。

#iptables -t过滤器-P 前锋 DROP
#iptables -t nat -P

此示例用于具有动态分配的IP的拨号连接:

#iptables -t nat -A 后伸 -o ppp0 -j伪装

正在运行的服务器

消磨时间的一种流行方法是就将服务器置于防火墙后还是置于防火墙之外进行辩论。如果选择将它们放在防火墙后面,则iptables需要知道将数据包传递到哪里:

#iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j DNAT -to 192.168.0.10:80
#iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 25 -j DNAT -to 192.168.0.11:25

第3页:脚本

本文最初发表于2003年6月10日
通过网络更新新闻获取最新消息