linux防火墙iptables配置(Linux下多网段Nat实现与应用)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Linux下多网段Nat实现与应用
Iptables/netfilter是一个可以替代价格昂贵的商业防火墙的网络安全保护解决方案,能够实现数据包过滤、数据包重定向和网络地址转换(NAT)等多种功能。
准备:
操作系统安装光盘:CentOS-6.1版本
硬件要求:dell poweredge 410(需双网卡)
实现功能:
192.168.11.0/24、192.168.10.0/24网段通过防火墙NAT转换访问外网,并实现数据包过滤。
过程:
步骤#1. 安装操作系统(最基本安装即可)
步骤#2. 设置网卡地址
外网eth0 IP:xx.xx.xx.xx
内网eth1 IP:172.16.1.254
网卡路径:/etc/sysconfig/network-scripts
DEVICE=eth0
HWADDR=00:0e:0c:3a:74:c4
NM_CONTROLLED=yes
ONBOOT=yes
TYPE=Ethernet
BOOTPROTO=none
IPV6INIT=no
USERCTL=no
IPADDR=xx.xx.xx.xx
NETMASK=255.255.255.252
DEVICE=eth1
HWADDR=00:0e:0c:3a:74:c4
NM_CONTROLLED=yes
ONBOOT=yes
TYPE=Ethernet
BOOTPROTO=none
IPV6INIT=no
USERCTL=no
IPADDR=172.16.1.254
NETMASK=255.255.255.0
步骤#3. 添加路由
把路由写到 /etc/rc.d/rc.local文件里,这样每次启动就不用重新设置了。
route add -net 172.16.1.0 netmask 255.255.255.0 gw 172.16.1.1
route add -net 192.168.11.0 netmask 255.255.255.0 gw 172.16.1.1
route add -net 192.168.10.0 netmask 255.255.255.0 gw 172.16.1.1
route add default gw 60.190.103.217
172.16.1.1是交换机与Linux的内网网卡接口的地址
步骤#3. 打开ip转发功能
修改文档:vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
步骤#4. Iptables相关配置
[root@tp ~]# iptables -F清除预设表filter中的所有规则链的规则[root@tp ~]# iptables -X清除预设表filter中使用者自定链中的规
[root@tp ~]# iptables -p INPUT DROP
[root@tp ~]# iptables -p OUTPUT ACCEPT
[root@tp ~]# iptables -p FORWARD DROP设定预设规则
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT为了能采用远程SSH 登陆,我们要开启22端口.
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT 允许icmp包通过,也就是允许ping,
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)允许loopback!(不然会导致DNS无法正常关闭等问题)
[root@tp ~]# iptables -A FORWARD -o eth0 -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -O eth1 ESTABLISHED, RELATED -j ACCEPT开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT处理IP碎片数量,防止攻击,允许每秒100个
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
[root@tp ~]#i ptables -t nat -A POSTROUTING -s 172.16.1.0/24-j SNAT --to xx.xx.xx.xx
[root@tp ~]#i ptables -t nat -A POSTROUTING -s 192.168.11.0/24 -j SNAT --to xx.xx.xx.xx
[root@tp ~]#i ptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to xx.xx.xx.xx
设置源地址转换
步骤#5. 保存配置
[root@tp ~]# /etc/rc.d/init.d/iptablessave
如果不保存这些重启后就会失去作用。