Linux下简单实用的防火墙配置 操作系统,REDHAT LINUX 9.0,安装操作系统的机器有两张网卡,eth1和eth0 eth1:10.1.0.3 (外网卡) eth0: 192.168.0.1 (内网卡) 在/etc/rc.d里面touch一个firewall 然后改为可执行 chmod u+x firewall 最后在/etc/rc.d/rc.local加入 vi /etc/rc.d/rc.local /etc/rc.d/firewall 然后写入策略 [root@proxy rc.d]# vi firewall #!/bin/sh echo "1">/proc/sys/net/ipv4/ip_forward /sbin/modprobe ip_tables /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack_ftp /sbin/modprobe iptable_nat /sbin/iptables -F /sbin/iptables -F -t nat /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT DROP /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT /sbin/iptables -t nat -A POSTROUTING -s 0/0 -d 0/0 -o eth1 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 10.1.0.3 -o eth1 -j SNAT --to 10.1.0.3 /sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT /sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 23 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT 这是最简单和实用的方法,有防火墙策略,内部局域网的用户可以正常的浏览网页,收发邮件,FTP等等,有需要的朋友可以自己增加和修改. PS:如果只想开启LINUX的NAT功能,只需要把 /sbin/iptables -P INPUT DROP ------>改成 /sbin/iptables -P INPUT ACCEPT /sbin/iptables -P OUTPUT DROP ------>改成 /sbin/iptables -P OUTPUT ACCEPT 然后删除掉后面的 /sbin/iptables -A INPUT -p tcp --dport 20 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT /sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 23 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT 就可以了. |
|