IPTABLE防火墙开启SSH和NAT

iptables防火墙

 

       Linux 防火墙使一种功能强大且配置灵活的软件防火墙，既可作为单机防火墙（主要由 filter 表的 INPUT 链和 OUTPUT 链实现其功能。）也可作为局域网的网关式防火墙（主要由 filter 表的 FORWORD 链和 nat 表的 PREROUTING 和 POSTROUTING 链实现其功能。）

        这次试验简单模拟一个不提供网络服务，但需要上网的小公司，怎样实现 ip 共享上网和安全连接因特网。防火墙脚本设置如下

 

#!/bin/bash

echo "1" > /proc/sys/net/ipv4/ip_forward

#jiazai

modprobe ip_tables

modprobe ip_nat_ftp

modprobe ip_nat_irc

modprobe ip_conntrack

modprobe ip_conntrack_ftp

modprobe ip_conntrack_irc

#chushihua

iptables -F

iptables -X

iptables -Z

iptables -F -t nat

iptables -X -t nat

iptables -Z -t nat

#morencelie

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -t nat -P PREROUTING ACCEPT

iptables -t nat -P POSTROUTING ACCEPT

iptables -t nat -P OUTPUT ACCEPT

#SHEZHIGUIZE

// 开启 SSH 连接

iptables -A OUTPUT -m state --state established,related -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 22 -s 192.168.99.100 -j ACCEPT

#iptables -A OUTPUT  -o eth0 -p tcp --sport 22 -d 192.168.99.100 -j ACCEPT

// 开启 WEB 连接和地址转换

iptables -A FORWARD -m state --state established,related -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -s 192.168.99.0/24 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.99.0/24 -j SNAT --to 172.16.0.1

#iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport 80 -d 192.168.99.0/24 -j ACCEPT

 

 

        由于本人技术和精力有限，这次试验不能完全模拟现实网络，例如，这次试验没有 dns ，局域网内的客户机不能用域名而要用 ip 地址访问我的“外网” web ，在现实的网络世界，就可以设置当地的 dns 提供商。还有就是，我把虚拟机连接外网的网卡禁用了，使用的“仅主机”和 vnet2 网络，所以我的试验环境完全是封闭式的，以后到了工作单位，说我的试验不能实现其功能，那就要你自己想想为什么了。