网关服务器上的防火墙简略配置:
- vim /etc/sysctl.conf 修改内核参数 net.ipv4.ip_forward=1【开启路由转发】
sysctl -p 【使配置生效】 - iptables -t nat -A POSTROUTING -s 【内网网段/24】-o eth0 【外网网卡】-j
SNAT--to-source 【公网地址】{配置SNAT策略使内网主机共享固定IP上网} - iptables -t nat -A POSTROUTING -s 【内网网段/24】-o ppp0 -j MASQUERADE
【共享动态ip地址上网】 - iptables -t nat -A PREROUTING -d 【公网地址】-i eth0 【外网网卡】-p
tcp --dport 80 -j DNAT –to-destination 【内网服务器地址】
{配置DNAT策略发布企业内部web服务器} - 对于linux网关服务器来说,在默认拒绝的情况下,若要实现共享上网,除了正常的SNAT策略以外,还需要放行内网PC与Internet中的DNS、Web、FTP等服务的通信。
iptables -A FORWARD -s 【内网网段/24】-o【外网网卡】-p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 【内网网段/24】-o【外网网卡】-p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 【内网网段/24】-o【外网网卡】-p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -d 【内网网段/24】-i 【外网网卡】-m state –state ESTABLISHED
,RELATED -j ACCEPT - service iptables save
iptables-save >/tmp/somefile 【导出防火墙配置】
iptalbles-restore </tmp/somefile 【导入防火墙配置】
具体工作中,根据实际情况有针对性的设计,并做好整体测试,避免因规则不当而导致的网络通信故障。
原文地址:http://blog.51cto.com/13588698/2151879
时间: 2024-11-09 07:07:33