IPTABLE防火墙开启SSH和NAT

iptables防火墙
 
       Linux 防火墙使一种功能强大且配置灵活的软件防火墙,既可作为单机防火墙(主要由 filter 表的 INPUT 链和 OUTPUT 链实现其功能。)也可作为局域网的网关式防火墙(主要由 filter 表的 FORWORD 链和 nat 表的 PREROUTING POSTROUTING 链实现其功能。)
        这次试验简单模拟一个不提供网络服务,但需要上网的小公司,怎样实现 ip 共享上网和安全连接因特网。防火墙脚本设置如下
 
#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
#jiazai
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
#chushihua
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
#morencelie
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
#SHEZHIGUIZE
// 开启 SSH 连接
iptables -A OUTPUT -m state --state established,related -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -s 192.168.99.100 -j ACCEPT
#iptables -A OUTPUT  -o eth0 -p tcp --sport 22 -d 192.168.99.100 -j ACCEPT
// 开启 WEB 连接和地址转换
iptables -A FORWARD -m state --state established,related -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -s 192.168.99.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.99.0/24 -j SNAT --to 172.16.0.1
#iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport 80 -d 192.168.99.0/24 -j ACCEPT
 
 
        由于本人技术和精力有限,这次试验不能完全模拟现实网络,例如,这次试验没有 dns ,局域网内的客户机不能用域名而要用 ip 地址访问我的“外网” web ,在现实的网络世界,就可以设置当地的 dns 提供商。还有就是,我把虚拟机连接外网的网卡禁用了,使用的“仅主机”和 vnet2 网络,所以我的试验环境完全是封闭式的,以后到了工作单位,说我的试验不能实现其功能,那就要你自己想想为什么了。
 

你可能感兴趣的:(linux,职场,iptables,休闲)