本文以實(shí)驗(yàn)的形式講解了Linux網(wǎng)絡(luò)服務(wù)配置中iptables配置的方法����,實(shí)驗(yàn)內(nèi)容及要求如下:
Iptables實(shí)驗(yàn)
啟動(dòng)兩臺(tái)linux虛擬機(jī),第一臺(tái)linux有兩塊網(wǎng)卡����,并配置防火墻����,第二臺(tái)linux有一塊網(wǎng)卡,是公司的服務(wù)器����;防火墻為自己和服務(wù)器提供訪問(wèn)控制,服務(wù)器上配置web����、FTP、和DNS服務(wù)����。
實(shí)驗(yàn)步驟
(1)配置本機(jī)網(wǎng)絡(luò)參數(shù)
[root@localhost]# netconfig –d eth0
[root@localhost]# netconfig -d eth1
(2)編輯一腳本文件
[root@localhost]# vi /bin/firewall.sh
文件內(nèi)容如下:
#!/bin/bash
echo "Starting iptables rules..." //顯示啟動(dòng)iptables信息
echo "1" > /proc/sys/net/ipv4/ip_forward //啟動(dòng)linux路由功能
iptables -F //清空所有規(guī)則
iptables -X //清空所有自定義規(guī)則
iptables -Z //清空計(jì)數(shù)器
iptables -P FORWARD DROP //定義默認(rèn)的轉(zhuǎn)發(fā)策略為丟棄
iptables -P INPUT DROP //定義默認(rèn)的接收策略為丟棄
iptables -P OUTPUT DROP //定義默認(rèn)的發(fā)送策略為丟棄
//允許訪問(wèn)DNS服務(wù)器的往返數(shù)據(jù)包
iptables -A FORWARD -p udp -d 192.168.10.1 --dport 53 --sport 1024: -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.10.1 --sport 53 --dport 1024: -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.10.1 --dport 53 --spjort 1024: -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.1 --sport 53 --dport 1024: -j ACCEPT
//允許訪問(wèn)WEB服務(wù)器的往返數(shù)據(jù)包
iptables -A FORWARD -p tcp -d 192.168.10.1 --dport 80 --sport 1024: -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.1 --sport 80 --dport 1024: -j ACCEPT
//允許訪問(wèn)FTP服務(wù)器的往返數(shù)據(jù)包通過(guò)
iptables -A FORWARD -p tcp -d 192.168.10.1 --dport 21 --sport 1024: -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.1 --sport 21 --dport 1024: -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.10.1 --dport 20 --sport 1024: -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.1 --sport 20 --dport 1024: -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.10.1 --dport 1024: --sport 1024: -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.1 --sport 1024: --dport 1024: -j ACCEPT
//允許本機(jī)與外部主機(jī)互ping
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
(3)給/bin/firewall.sh設(shè)置可執(zhí)行權(quán)限
[root@localhost]# chmod 755 /bin/firewall.sh
(4)執(zhí)行/bin/firewall.sh
[root@localhost]# /bin/firewall.sh
(5)讓計(jì)算機(jī)下次啟動(dòng)時(shí)自動(dòng)執(zhí)行/bin/firewall.sh
[root@localhost]# echo ‘/bin/firewall.sh’ >> /etc/rc.local
