IPTABLES手把手讨论，在线等：）

岚轩 · 发表于 2004-11-11 15:58:14

我有这样的网络环境：我这里的LH3K有2块网卡，但是都是内网地址，不过都可以访问INTERNET！因为外面还有硬件防火墙，而且防火墙上一个外网端口已经映射到LH3K（装了RHEL3）上啦，我如何进一步加强LH3K的安全性？
我看了好多IPTABLES的相关资料，始终还是一知半解！
先讨论一下初始化的语句：
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptalbes -t nat -P PREROUTING ACCEPT
/sbin/iptalbes -t nat -P OUTPUT ACCEPT
/sbin/iptalbes -t nat -P POSTROUTING ACCEPT
上面是简单的nat.sh，但是我的LH3K如果不做NAT，只是用IPTABLES来加强安全性的话，要怎么写？
我的初步要求：LH3K可以向外访问INTERNET（任意外网IP），并且内网的一段IP可以和LH3K正常通讯（SSH、VNC、SMB、HTTPD、MYSQLD、VSFTPD等必要通讯端口），LH3K可以向外提供HTTPD、VSFTPD服务，LH3K可以映射ED（4662）BT（6881）到本机，INTERNET的部分IP可以访问LH3K的部分端口（SSH等），另外，LH3K自身不提供NAT服务。这个看来比较复杂，怎么写呢？

岚轩 · 发表于 2004-11-11 16:11:23

我的初步想法，myiptable.sh:
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -A INPUT -s 192.168.10.18/30 -j ACCEPT #内网一端都能访问LH3K
/sbin/iptables -A INPUT -s 218.90.1.1/16 -j ACCEPT #外网一端都能访问LH3K
/sbin/iptables -A PREROUTING -t nat -p tcp -d 218.16.96.35 --dport 4662 -j DNAT --to 192.168.10.20 #ED端口映射
/sbin/iptables -A PREROUTING -t nat -p tcp -d 218.16.96.35 --dport 6881 -j DNAT --to 192.168.10.20 #BT端口映射
还有些不知道怎么写啦？大侠来侃侃，后来想想ED、BT的映射其实硬件防火墙已经完成，可能不要上述语句！

dannycat · 发表于 2004-11-11 20:59:56

都是内网端口？同一网段的？ NAT 有什么用？

就作为只有一块网卡的单机来看待即可，只需写 filter 表的 INPUT 链就足够用了。

允许外网访问的部分是可以由你外部的硬件防火墙来控制的，允许访问哪些服务它说了算，你就是写了规则硬件防火墙不给你转发端口也没有用。

限制外网访问的规则当然你也可以写，不过只会在外部的硬件防火墙被攻破的情况下才会起作用

岚轩 · 发表于 2004-11-12 10:25:53

[quote:c87af176d6="dannycat"]都是内网端口？同一网段的？ NAT 有什么用？

就作为只有一块网卡的单机来看待即可，只需写 filter 表的 INPUT 链就足够用了。

允许外网访问的部分是可以由你外部的硬件防火墙来控制的，允许访问哪些服务它说了算，你就是写了规则硬件防火墙不给你转发端口也没有用。

限制外网访问的规则当然你也可以写，不过只会在外部的硬件防火墙被攻破的情况下才会起作用

[/quote]

其实斑竹没有了解情况；）
不过我没有说明清楚~
其实情况是这样的：
我这里内网有VLAN，有多个子网的，不过IP已经分配过啦，权限自然是不同的！
我只是想实验一下：
1.NAT的效果，举个例子：
例如：192.168.10.1是LH3K并装有RH9-LINUX+IPTABLES，而192.168.10.3是被硬件防火墙否定掉的IP，我用192.168.10.1来做NAT，理论上：只要192.168.10.3从物理上已经处于同一子网并能PING通，则192.168.10.3也会可以上网，斑竹说一个？
2.由于LH3K使用了MIP，其实就相当于一台外网的机器，至少在WINDOWS（没有软件防火墙的情况下）下是如此，并且在WINDOWS下ED、BT下载都很快（比其他子网的内网机器快很多），而奇怪的是在LINUX下就会像内网一样连接，虽然源多的时候速度也不慢，不过速度还是有点折扣的！而且我可以确认我没有开IPTABLES，所以我在LINUX计划使用IPTABLES，一方面可以加强系统的安全性，一方面可以提速某些服务！所以就有了1楼的想法，希望斑竹能切合实际的回复我一样，小弟感激不尽。毕竟，我现在对IPTABLES还是一知半解，最好能MSN讨论一些相关的理解啊~
MY MSN：[email protected]

dannycat · 发表于 2004-11-12 12:08:23

混乱…… 有人看懂楼主在说什么吗？

GGGO · 发表于 2004-11-16 14:33:20

如果192.168.10.3的可以访问192.168.10.1的话，由192.168.10.1来做SNAT应该可以使192.168.10.3上网的。

还有：

什么是MIP啊？？
给我介绍以下，长长见识！

岚轩 · 发表于 2004-11-16 14:48:48

[quote:eb5445107f="GGGO"]如果192.168.10.3的可以访问192.168.10.1的话，由192.168.10.1来做SNAT应该可以使192.168.10.3上网的。

还有：

什么是MIP啊？？
给我介绍以下，长长见识！[/quote]

MIP是硬件防火墙上常见的专业术语，作用是全端口映射！

GGGO · 发表于 2004-11-16 19:21:27

		自动登录	找回密码
密码			注册