IPTABLES实现linux防火墙.doc

IPTABLES实现linux防火墙iptables的功能十分的强大，例如IP转发和伪装防御DoS，扫描和嗅探试的攻击等等，在这里就不阐述了。系统环境: redhat 7.2、 adsl 2m 、8139fast 网卡、1、linux软路由功能:在/etc/rc.d/rc.local加上一句cat 1 /proc/sys/net/ipv4/ip_forward让linux具有ip_forward的功能。但是，就算这样设置局域网内的其他电脑还是不能共享上网。因为当只有一个公网的ip的时候，就必须用到iptables的IP伪装功能，把IP的伪装成公网的IP，可以这样：iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 这样就可以把出去的IP地址伪装成ppp0的IP地址(ADSL、如有不同可以修改)2、不想开放端口，但要在电脑上启用http服务，并对外服务:因为不想开放除了80以外的端口，可以这样iptables P INPUT j DROP 我们用-P来拦截全部的通信，然后在来允许哪些端口可以被使用可以这样写:iptables A INPUT p tcp d port 80 j ACCEPT可以适当的按照这样的格式来添加自己想开放的端口，当然如果觉得这样不是很好的管理，也可以新建一个iptables表。可以这样：iptables N test （新建一个test表）iptables A test DROPiptables A test p tcp dport 80 j ACCEPT(允许80端口被访问)iptables A INPUT j testiptables A OUTPUT j testiptables A FORWARD j test（这3条的意思指让INPUT OUTPUT FORWARD都按照test的设置）3、在内网的电脑上架设ftp服务，该怎么做？这就又要用到iptables 的又一个强大的功能端口映射了。可以这样：iptables -t nat -A PREROUTING -p tcp -m tcp -dport 25 -j DNAT -to-destination:21iptables -t nat -A POSTROUTING -s /24 -d -p tcp -m tcp -dport 25-j SNAT -to-source 上面2句话的意思是把服务器的25端口映射到这台电脑上4、不想让人家可以PING到，这大概是做防火墙用到最多的了，可以在iptables写这句话：iptables -A INPUT -p icmp -icmp-type echo-request -i ppp0 -j DROP如果前面是新建了一个新的test表 那也可以这样写：iptables -A test -p icmp -icmp-type echo-request -i ppp0 j DROP这句话就是不允许人家PING，因为ping用到的是icmp协议 因为icmp没有端口可言，所以也不需要指定端口了这就是iptables的几种比较基本的用法。这里再介绍几个iptbales常用的一些命令：iptables F （清空所有的iptables的规则设置）/sbin/iptables-save iptables sav