中小企业包过滤防火墙配置实例[原创]

shenhanchinese

www服务器192.168.1.10       ftp服务器192.168.1.20             email服务192.168.1.30
内部网 192.168.1.0/24

eth0 192.168.1.1(接内网)   包过滤防火墙(双网卡)  eth0 202.199.37.234(连INTERNET)

下面建立教本
cat 1 > /proc/sys/net/ipv4/ip_forward
touch /etc/rc.d/fliter-firewall
chmod /etc/rc.d/fliter-firewall
vi /etc/rc.d/fliter-firwall
#!bin/bash
iptables –F
iptables –t nat –A POSTROUTING –s 192.168.1.0/24 –o eth0 –j SNAT –to 202.199.24.234
iptables –t nat PREROUTING –d 202.199.24.234 –I eth0 –j DNAT –to 192.168.1.2-192.168.1.253
以上配置客户机上网
iptables –P FROWARD DROP  
iptables – A FORWARD –d 192.168.1.10 –i eth0 –t tcp –dport www –j ACCEPT
iptables – A FORWARD –d 192.168.1.20 –i eth0 –t tcp –dport ftp –j ACCEPT
iptables – A FORWARD –d 192.168.1.30 –i eth0 –t tcp –dport smtp –j ACCEPT
以上开放外网对内网3台服务器的访问
iptables –A FORWARD –s 0/0 –p tcp –d 192.168.1.0/24 --dport ftp-data – i eth0 –j ACCEPT
开放 外网对内网发起的从ftp数据端口的连接
iptables –A FORWARD –d 192.168.1.0/24 –p tcp !–syn –I eth0 –j ACCEPT
开放对内的非连接请求作用的tcp包
iptables –A FORWARD –p udp  –I eth0 –j ACCEPT
接受所有的udp包,为oicq等服务
iptables –A FORWARD –s 192.168.1.0/24 –I eth1 –j ACCEPT
先接受来自内网的数据包转发 ,对内网对外的连接不作限制
iptables –A FORWARD –f –limit –limit 100/s –limit –limit-burst 100 –j ACCEPT
对内网和外网都做ip碎片流量限制,防止ip碎片的攻击
iptables –A FORWARD –p icmp –limit –limit 1/s –limit –limit-burst 10 –j ACCEPT
控制ping的流量,防止ping的攻击

Deen

下面建立教本
cat 1 > /proc/sys/net/ipv4/ip_forward
touch /etc/rc.d/fliter-firewall
chmod /etc/rc.d/fliter-firewall
vi /etc/rc.d/fliter-firwall

请问这些是什么意思?
谢谢指教..能说详细点最好了.呵呵

Yuri

cat 1 > /proc/sys/net/ipv4/ip_forward(打开网卡的数据包转发)
touch /etc/rc.d/fliter-firewall (用touch建立一个filter-firewall文件)
chmod /etc/rc.d/fliter-firewall(给刚建立的filter-firewall加上可执行权限)
vi /etc/rc.d/fliter-firwall(编辑刚刚建立的文件,在里面加入内容)

Deen

谢谢楼上。
还有一个问题，请问不需要在教本中加上要调用IPTABLES的模块吗？
就像这种
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat…………
谢谢，向大家学习。

Deen

大家好,我照楼主的脚本基本打了一下.在运行脚本的时候显示的是...请懂的朋友指点一下.为什么会错.其实仔细看,错误大都相通的....谢谢.比较急
Bad argument `202.199.24.234'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `192.168.1.2-192.168.1.253'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: multiple -d flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: multiple -d flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: multiple -d flags not allowed
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: host/network `-syn' not found
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Unknown arg `-f'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: Unknown arg `icmp'
Try `iptables -h' or 'iptables --help' for more information.

以下是楼主的,我稍微改动了一下.
#!/bin/bash
iptables -F
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT -to 202.199.24.234
iptables -t nat -A PREROUTING -d 202.199.24.234 -i eth0 -j DNAT -to 192.168.1.2-192.168.1.253
iptables -P FORWARD DROP
iptables -A FORWARD -d 192.168.1.10 -i eth0 -t tcp -dport www -j ACCEPT
iptables -A FORWARD -d 192.168.1.20 -i eth0 -t tcp -dport ftp -j ACCEPT
iptables -A FORWARD -d 192.168.1.30 -i eth0 -t tcp -dport smtp -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -d 192.168.1.0/24 --dport ftp-data -i eth0 -j
ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -p tcp ! -syn -i eth0 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j ACCEPT
iptables -A FORWARD -f -limit -limit 100/s -limit -limit-burst 100 -j DROP
iptables -A FORWARD -p icmp -limit -limit 1/s -limit -limit-burst 10 -j DROP

Deen

问题基本解决了。～
似乎是楼主有点地方错误了。