国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

掃一掃
關注微信公眾號

圖形簡釋iptables防火墻(1)
2007-06-22   

一般LINUX防火墻(iptalbes)的運用無非是用nat 表(PREROUTING、OUTPUT、POSTROUTING)和filter表(FORWARD、INPUT、OUTPUT)。我們只有知道了數據的流向才能正確的配置防火墻。現用一個相對比較直觀的圖形解釋數據的走向。(此處只作最基本的iptables數據流走向說明。)


上圖是你的家,藍色的圈是你家院子,有兩扇大門①⑥進出,你家有兩個房間,分別為eth0和 eth1房間,每個房間有兩個門可以進出②③④⑤。旁邊是張三和李四的家,張三家和李四家之間的往返必須要過你家院子。
現假設,eth0網卡IP為:192.168.5.1鏈接內網,eth1網卡IP為:218.100.100.111鏈接互連網。
再假設,“張三家”為一個局域網,“李四家”為互連網。進我家院子用PREROUTING,出我家院子用FORWARD,進我家門用INPUT,出我家門用OUTPUT。(當我們的操作是征對服務器本身而言的話,如SSH操作,此時肯定會用到PREROUTING、INPUT和OUTPUT,當數據只是通過服務器去訪問別的機器時會用到PREROUTING和FORWARD。)
又假設,默認這六個門都是關的。生成如下代碼。 
*nat

:PREROUTING DROP [0:0]
:OUTPUT DROP [0:0]
:POSTROUTING DROP [0:0]

-F
-Z
-X
### 以后要新增語句請在此處增加。
-L –v
COMMIT

*filter

:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

-F
-Z
-X
### 以后要新增語句請在此處增加。
-L –v
COMMIT
1、 局域網用戶通過服務器共享上網
(即從張三家到李四家)
1)首先進①號門,再從⑥號門走出。 
-A PREROUTING –p tcp --dport 80 –j ACCEPT #允許TCP 80端口通過服務器
-A FORWARD –p tcp --dport 80 –j ACCEPT #允許TCP80 端口轉發
-A FORWARD –p tcp --sport 80 –j ACCEPT #允許接收對方為TCP80端口反回的信息
2)其次,由于我們上網打的是域名,為此有一個公網DNS服務器為我們服務,那當然也要允許內網機器與DNS服務器的數據轉發。DNS用UDP 53或者 TCP 53端口。兩者用其一個就行。 
-A PREROUTING –p udp --dport 53 –j ACCEPT
-A FORWARD –p udp --dport 53 –j ACCEPT
-A FORWARD –p udp --sport 53 –j ACCEPT
3)再次,由于局域網的地址在公網上是不被允許的,所以在出公網前應該把其地址轉為服務器地址進行偽裝。 
-A POSTROUTING –s 192.168.5.0/24 –j SNAT –to 218.100.100.111
2、 允許局域網和公網可以訪問服務器的SSH
假設SSH采用默認端口TCP 22 。此要求相當于要進我的家的TCP 22號門,為此我們首先要進我家院子,然后再進我家門,最后走出我家門這樣的過程。此操作是征對服務器本身的操作。 
-A PREROUTING –p tcp --dport 22 –j ACCEPT
-A INPUT –p tcp --dport 22 –j ACCEPT
-A OUTPUT –p tcp --sport 22 –j ACCEPT
3、 允許內網機器可以登錄MSN和QQ。
(MSN和QQ默認是不允許登錄的)QQ一般來說可以從TCP 80、8000、443及UDP 8000、4000登錄,而MSN可以從TCP 1863、443登錄。我們登錄MSN和QQ的過程就象上網一樣,也是去訪問遠程服務器的指定端口,故而我們只用數據轉發即可。 
-A PREROUTING –p tcp --dport 1863 –j ACCEPT
-A PREROUTING –p tcp --dport 443 –j ACCEPT
-A PREROUTING –p tcp --dport 8000 –j ACCEPT
-A PREROUTING –p udp --dport 8000 –j ACCEPT
-A PREROUTING –p udp --dport 4000 –j ACCEPT
-A FORWARD –p tcp --dport 1863 –j ACCEPT
-A FORWARD –p tcp --sport 1863 –j ACCEPT
-A FORWARD –p tcp --dport 443 –j ACCEPT
-A FORWARD –p tcp --sport 443 –j ACCEPT
-A FORWARD –p tcp --dport 8000 –j ACCEPT
-A FORWARD –p tcp --sport 8000 –j ACCEPT
-A FORWARD –p udp --dport 8000 –j ACCEPT
-A FORWARD –p udp --sport 8000 –j ACCEPT
-A FORWARD –p udp --dport 4000 –j ACCEPT
-A FORWARD –p udp --sport 4000 –j ACCEPT

共2頁: 1 [2] 下一頁

熱詞搜索:

上一篇:Linux文件系統被破壞時的處理方法
下一篇:解析Linux中的VFS文件系統機制(上)(1)

分享到: 收藏
主站蜘蛛池模板: 陆川县| 肃南| 固原市| 建湖县| 英山县| 苏尼特右旗| 镇沅| 汕尾市| 东兴市| 钟祥市| 昌宁县| 邵阳县| 驻马店市| 中牟县| 象山县| 罗江县| 龙岩市| 吉林市| 平舆县| 西林县| 新绛县| 泰兴市| 广西| 文山县| 双桥区| 横山县| 襄汾县| 新郑市| 宿州市| 科尔| 麟游县| 湘阴县| 渭源县| 同德县| 康保县| 禹城市| 周至县| 满城县| 永春县| 邵阳市| 礼泉县|