前言
用Linux+iptables做防火墻具有很高的靈活性和穩定性(老兄我的防火墻自從做了之后還一直沒有重啟過)，但安裝和設定起來比較麻煩，而且容易出錯，本文旨在用為公司做防火墻的實例，讓大家對Linux+iptables做防火墻的安裝和配置有一個大致的了解，希望能起到拋磚引玉的作用。
系統環境與網絡規化
先了解一下公司的環境，公司利用2M ADSL專線上網，電信分配公用IP為218.4.62.12/29,網關為218.4.62.13 ,公司有電腦五十多臺，使用DHCP，IP是192.168.2.XXX，DHCP Server建在iptables Server上；另公司有一電腦培訓中心，使用指定固定IP，IP為192.168.20.XXX，為了更加快速的瀏覽網頁，我們架了一臺Squid Server，所有電腦通過Squid Server瀏覽網頁，公司還另有一臺WEB Server+Mail Server+Ftp Server。其IP為218.4.62.18。以上電腦和服務器要求全架在防火墻內。我們規化如下：
Iptables Server上有三塊網卡,eth0上加有二個IP，218.4.62.14和218.4.62.18。
其中218.4.62.14為共享上網，218.4.62.18為WEB Server專用，Eth1的IP為192……168.2.9；為了使培訓中心PC與公司PC之間互不訪問，所以直接從Iptables Server接到Switch-B,eth2接至Switch-A，連接培訓中心PC和Squid Server, Web Server。
網絡規化好了后，就開始裝服務器了，Iptables Server 用的系統為Redhat Linux V7.3。在裝服務器時要注意選上防火墻的安裝包。
IPTABLES基礎
Iptables語法：

Iptables [-t TABLE] ACTION [PATTERN] [-j TARGET]

TABLE:
有filter,nat,mangle；若無指定，預設為filter table.
ACTION(對Chains執行的動作):
ACTION 說明
-L Chain 顯示Chain中的所有規則
-A Chain 對Chain新增一條規則
-D Chain 刪除Chain中的一條規則
-I Chain 在Chain中插入一條規則
-R Chain 替換Chain中的某一條規則
-P Chain 對Chain設定的預設的Policy
-F Chain 清除Chain中的所有規則
-N Chain 自訂一個Chain
-X 清除所有的自訂Chain
CHAINS:
Iptables 有五條默認的Chains(規則鏈)，如下表：
Chains 發生的時機
PREROUTING 數據包進入本機后，進入Route Table前
INPUT 數據包通過Route Table后，目地為本機
OUTPUT 由本機發出，進入Route Table前
FORWARD 通過Route Table后，目地不是本機時
POSTROUTING 通過Route Table后，送到網卡前
PATTERN(設定條件部份):
參數 內容 說明
-p Protocol 通訊協議，如tcp,udp,icmp,all等……
-s Address 指定的Source Address為Address
-d Address 指定的Destination Address為Address
-I Interface 指定數據包進入的網卡
-o Interface 指定數據包輸出的網卡
-m Match 指定高級選項，如mac,state,multiport等……
TARGET(常用的動作)：
TARGET 說明
ACCEPT 讓這個數據包通過
DROP 丟棄數據包
RETURN 不作對比直接返回
QUEUE 傳給User-Space的應用軟件處理這個數據包
SNAT nat專用：轉譯來源地址
DNAT nat專用：轉譯目地地址
MASQUERADE nat專用：轉譯來源地址成為NIC的MAC
REDIRECT nat專用：轉送到本機的某個PORT

共3頁: 1 [2] [3] 下一頁