IPTABLES 配置方法介绍

jamlee800 · 发表于 2003-3-28 10:25:35

本方法以前贴出过，现进一步完善后再奉献出来，望对新人有所帮助。

在配置IPTABLES以前，你必须保证本机DNS和路由已经配好，本机能够正常上网。反之请暂不要启动IPTABLES。

Iptables配置

配置iptables的目的，一个是防止公网的入侵，一个是让内网的兄弟们上网。在没配之前，只有本机能上网。

Rh8.0的“系统设置”中有个“安全级别” ，它主要是针对本机来说的，不能用它来配置iptables。打开“安全级别”，把它配成“无防火墙”级别。

为了配置、测试方便，可以先用“KWrite”编个“脚本”，采用“复制”、“粘贴”方式，把全部语句一次性粘贴到“终端”里执行。这样修改测试都很方便。

打开“其他”—“辅助设施”中的“KWrite”，将下面的样本输入或粘贴到里面（其中，eth0、eth1分别是外、内网卡）：

echo "Enable IP Forwarding..."
echo 1 >/proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp             ;支持被动FTP
/sbin/modprobe ip_conntrack_ftp       ;
/sbin/modprobe ip_conntrack_h323    ;支持NETMEETING
/sbin/modprobe ip_nat_h323          ;

iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

/etc/rc.d/init.d/iptables restart

iptables -L

再另存为一个文件放到桌面上，便于使用。

在这个配置里面，INPUT和转发FORWARD功能的缺省值都是拒绝（DROP），这意味着在后面的INPUT和FORWARD语句中没有表明通过（ACCEPT）的都将被拒之门外。这是一个最好的安全模式，经过使用赛门铁克的在线测试，所有公网端口都是隐藏的。注意，所有内网端口都是打开的，本机对内没有安全可言。

其它的语句我就不多说了，最后一句是显示配置执行后的链路结果。

每次修改完后，将整篇语句全部复制，再粘贴到“终端”，它将自动配置、启动、显示一次。反复修改、测试，直到达到你的要求。

最后将整篇语句全部复制，再粘贴到“/etc/rc.d/rc.local”文件后面，你的配置开机后也可以自动执行了。

dsj · 发表于 2003-3-28 11:36:49

兄弟，不错啊！

ericmeng · 发表于 2003-4-17 23:21:54

--> service iptables save #(don't need rc.local)
less /etc/sysconfig/iptables
chkconfig iptables on

baokongwei · 发表于 2003-4-18 14:28:39

能否把每条语句解释一下

ericmeng · 发表于 2003-4-18 14:52:00

1. iptables settings can be saved in the file /etc/sysconfig/iptables by using the command "service iptables save". (this is redhat command)

2. this file can be read by -->less /etc/sysconfig/iptables, in this file you can read the statement, but don't suggest to change this file by manual, in this file has some special setting.

3. chkconfig iptables on, then the iptables service still on even you reboot your machine!

faint · 发表于 2003-4-30 14:13:47

man iptables

picotrue · 发表于 2003-4-30 20:04:23

赫赫，蛮好的，不过我想应该再讲的详细点，这个东西很有用的
配置的好就是很强的防火墙了。
顶一下

faint · 发表于 2003-5-6 10:48:35

是的，但要对iptales 有一定了解才行！

Sharp · 发表于 2003-5-9 18:49:32

good..终于找到一篇介绍iptables的好文章了，

小山山 · 发表于 2003-5-10 11:02:05

好东西.

		自动登录	找回密码
密码			注册

IPTABLES 配置方法介绍

permanent save iptables!