关于iptables 的几个问题,外部不能访问内部固定IP服务器!

gary9912

现在用ADSL 共享上网, 使用
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

网卡 eth0为连接adsl
        eth1为连接内部网络  192.168.1.1

我服务器上开了 80 21 22 53 等端口,

我想这样实现,  即使我的服务器被黑的, 他也不能通过这一部代理服务器,访问到内部网络的所有计算机,这样能保证内部计算机信息安全, 怎么样能实现?

另外, 我想内部有些是只能访问到一个外部ip其它都不允许的, 如我想只允许 192.168.1.150 这个ip 只能访问到 202.104.32.231 这个IP地址, 这里有很多好的文章,但是本人从新拿回linux才一个月左右,所以不太懂,现在又要实现上以功能,烦请高手帮帮忙!  :ask

gary9912

另外, 本人还想问问,

我有一个 网址列表,或ip列表, 假如内部网络一访问到该网址列表,就自动转向到别的ip(或不允许连接)

这样做为了防止内部人访问黄色网络,或者说不合法的网页!造成公司损失

gary9912

另外, 我还想,让内部网络一部份IP段 如 192.168.1. 100~ 130 这段IP只能连接 80,21,22端口其它都不允许,应该怎么做？

gary9912

放了没天,没人顶....555555555555有没大哥帮帮偶呀

sfatsdu

很难，你想，你的网关对你的内部网络总是透明的吧，现在你的网关机器挂了，假设黑客拿到了root权限，那它岂不是为所欲为？所以还是好好的调网关要紧。

gary9912

哪不行的话 就放过他吧
下边的问题能解答吗?
我想内部有些是只能访问到一个外部ip其它都不允许的, 如我想只允许 192.168.1.150 这个ip 只能访问到 202.104.32.231 这个IP地址

sfatsdu

怎么说呢，很基本的iptables阿
iptables -A INPUT -s 192.169.1.150 -d 202.x.x.x -j ACCEPT
好好看文档吧，iptables很复杂的。
http://iptables-tutorial.frozentux.net/
http://www.netfilter.org/documentation/index.html

gary9912

谢谢了,

我还想,让内部网络一部份IP段 如 192.168.1. 100~ 130 这段IP只能连接 80,21,22端口其它都不允许,应该怎么做？

sfatsdu

首先你得了解tcp/ip工作机制，然后读第一篇文档了解netfilter是怎样工作的，它能做到哪些功能。最后
man iptables ，了解各个详细的用法
然后就可以创建自己的防火墙了。
拒绝直接回答你的问题。