系統(tǒng)環(huán)境：centos6.3 x64

為義縣等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及義縣網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、義縣網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

IPTABLES：系統(tǒng)自帶

一.部署環(huán)境：

1.關(guān)閉SELINUX

# setenforce 0

# vi /etc/sysconfig/selinux

---------------

SELINUX=disabled

---------------

2.清空默認(rèn)策略并重啟iptables

# iptables -t NAT -F

# iptables -F

# service iptables save

# service iptables restart

3.開啟服務(wù)器端路由轉(zhuǎn)發(fā)功能

# vi /etc/sysctl.conf

---------------------

net.ipv4.ip_forward = 1

---------------------

# sysctl -p

本例我們模擬一個WEB站點,只在防火墻處開啟SSH:22和WEB:80端口,并配置防火墻到內(nèi)網(wǎng)服務(wù)器22與80的端口映射，若開啟其他端口服務(wù)，請自行修改

二.網(wǎng)關(guān)防火墻iptables配置：

1.內(nèi)部回環(huán)網(wǎng)絡(luò)永遠(yuǎn)打開.

# iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT

# iptables -A OUTPUT -o lo -s 127.0.0.1 -j ACCEPT

2.用DNAT做端口映射：

# iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 22 -j DNAT --to 192.168.100.10

# iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j DNAT --to 192.168.100.10

# 用SNAT作源地址轉(zhuǎn)換（關(guān)鍵），以使回應(yīng)包能正確返回

# iptables -t nat -A POSTROUTING -d 192.168.100.10 -p tcp --dport 22  -j SNAT --to 192.168.100.1

# iptables -t nat -A POSTROUTING -d 192.168.100.10 -p tcp --dport 80  -j SNAT --to 192.168.100.1

3.打開FORWARD鏈的相關(guān)端口(路由轉(zhuǎn)發(fā))

# iptables -A FORWARD -o eth2 -d 192.168.100.10 -p tcp --dport 22 -j ACCEPT

# iptables -A FORWARD -i eth2 -s 192.168.100.10 -p tcp --sport 22 -m state --state

ESTABLISHED,RELATED -j ACCEPT

# iptables -A FORWARD -o eth2 -d 192.168.100.10 -p tcp --dport 80 -j ACCEPT

# iptables -A FORWARD -i eth2 -s 192.168.100.10 -p tcp --sport 80 -m state --state

ESTABLISHED,RELATED -j ACCEPT

4.子網(wǎng)接受其他的tcp包.

# iptables -A FORWARD -p tcp -i eth2 -o eth0 -j ACCEPT

5.子網(wǎng)可以訪問其他UDP協(xié)議的公網(wǎng)服務(wù).

# iptables -A FORWARD -p udp -i eth0 -s 192.168.0.0/24 -o eth2  -j ACCEPT

# iptables -A FORWARD -p udp -i eth2 -d 192.168.0.0/24 -o eth0 -m state --state ESTABLISHED -j ACCEPT

6.子網(wǎng)訪問公網(wǎng)的模式是偽裝成網(wǎng)關(guān)的地址,使內(nèi)網(wǎng)用戶可路由出外網(wǎng)

# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE

7.拒絕其他所有策略：

# iptables -P FORWARD REJECT

# iptables -A INPUT -j REJECT

# iptables -P OUTPUT REJECT

8.保存并重啟服務(wù):

# service iptables save

# service iptables restart

----------配置完畢-----------

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站欄目：Centos6.3利用iptables配置網(wǎng)關(guān)防火墻-創(chuàng)新互聯(lián)
本文URL：http://weahome.cn/article/cojgss.html