您现在的位置是: IT外包 ->实时操作系统 ->
 
本文关键字: 一个NAT+SQUID+DNAT+FORWARD+反弹式FIREWALL的例子
Google
 
一个NAT+SQUID+DNAT+FORWARD+反弹式FIREWALL的例子
作者: 不详 | 发布时间: 2008-06-11 12:52 | 信息类别: 实时操作系统 | 访问人次:
评论 推荐 打印 编辑 】 【 关闭
  

  
font=宋体]
以下是我自己的一个防火墙例子,对大家最近提出的DNAT(端口映射)的问题很有帮助

环境:
ADSL(eth0)
内网(eth1)192.168.0.1/24

#! /bin/bash
modprobe ip_nat_ftp
iptables -F -t filter
iptables -F -t nat
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

# ALLOW ALL in PRIVATE NET
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i eth1 -p icmp -m limit --limit 5/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j MIRROR

# NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

# DNAT RADMIN to PRIVATE
iptables -A PREROUTING -t nat -i ppp0 --dport 4899 -j DNAT --to 192.168.0.2
iptables -A PREROUTING -t nat -i ppp0 --dport 5000 -j DNAT --to 192.168.0.3:4899

# SQUID
iptables -A PREROUTING -t nat -i eth1 -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to 3128

# FORWARD edit by Platinum
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT    # FTP
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT    # SSH
iptables -A FORWARD -p tcp --dport 23 -j ACCEPT    # TELNET
iptables -A FORWARD -p udp --dport 53 -j ACCEPT    # DNS
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT    # HTTP
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT    # HTTPS
iptables -A FORWARD -p udp --dport 8000 -j ACCEPT   # QQ
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT    # SMTP
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT    # POP3
iptables -A FORWARD -p tcp --dport 4899 -j ACCEPT   # RADMIN
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT   # MSN (you must allow port 443)
iptables -A FORWARD -p icmp -j ACCEPT

# KEEP ON CONNECTIONS
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# exchange the "SOURCE" and "DESTINATION" of other packets, and SEND it out !!!
iptables -A INPUT -j MIRROR



防火墙同时适用于静态 IP 及动态 IP 的情况
[/font]
评论 推荐 打印 编辑 】 【 关闭
『相关链接』
【郑重声明】【上海IT外包服务网】 刊载此文不代表同意其说法或描述,仅为提供更多信息,也不构成任何投资或其他建议。转载需经作者本人同意并注明出处。本网站有部分文章是由网友自由上传。对于此类文章本站仅提供交流平台,不为其版权负责。如果您发现本网站上有侵犯您的知识产权的文章,请发信至 或直接电话联系: 021-58879030
请您留言
『发表评论』
匿名发表 会员ID: 密码:
上海蝶应信息科技有限公司
上海市商城路341号紫光大厦1305室 +0086-21-58878998 11394019
dieying@541help.com +0086-21-58879030HappyFreeAngel@hotmail.com
Copyright@2007 IT-WAIBAO.COM Inc.沪ICP备05039378号 版权所有2007-2010 管理员登陆