自己写的一个防火墙脚本，并+了注释。

gouf123 · 发表于 2004-6-9 18:53:44

eth0接外网
eth1接内

我自己写的防火墙，对各个部分都做了解释，希望大家喜欢，并欢迎大家一起交流

编辑/etc/sysctl.conf文件，并确认net.ipv4.ip_forward = 1

#重新设置策略链并删除已有规则

iptables --policy INPUT ACCEPT
iptables --policy OUTPUT ACCEPT
iptables --policy FORWARD ACCEPT
iptables --flush
iptables --flush -t nat

#设置基本的过滤规则，从而拒绝所有的网络流量

iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
iptables --policy FORWARD DROP

#在回送接口允许所有内部网络流量

iptables -A OUTPUT -j ACCEPT -i lo
iptables -A INPUT -j ACCEPT -o lo

#配置向外方向的TCP规则，其中，-state ESTABLISHED,NEW参数指定要检查哪个状态。ESTABLISHED
标志匹配属于已有的TCP连接的封包。NEW标志指定试图创建一条新TCP连接的第一个封包，这条规则指明
属于新建的和已建立的TCP连接的封包将会通过eth0端口想外发送。

iptables -A OUTPUT -j ACCEPT -o eth0 -p tcp -m state --state ESTABLISHED,NEW

#检查到达外部网络接口的封包状态。属于已有TCP连接的封包都允许通过

iptables -A INPUT -i eth0 -p -m state --state ESTABLISHED,RELATED -j ACCEPT

#配置封包从一个端口转发到另一个

iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -j eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#下面对源地址进行转换
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to a.b.c.d

doocoo · 发表于 2004-6-9 18:59:25

你好.能不能帮我写一下.有关于带200台机子的路由上的防火墙呢?

谢谢..还有就是透明代理..加proftpd.+ Samba
E-mail

a.c886@126.com

Snoopy · 发表于 2004-6-9 19:00:31

好,兄弟努力 !

doocoo · 发表于 2004-6-9 19:02:53

我的想法是用redhat -as3做服务器..做一个透明的代理.带上二百台的机子.加上proftpd.+ .samba.内核是2.6.6//
就是不知道得加上那些模快.和不要那些....还有就是防火墙..

Snoopy · 发表于 2004-6-9 19:04:47

不是很难,,参考一下精华可以搞定,有具体问题再发贴

faint · 发表于 2004-6-9 19:06:48

200台机器？用iptables+squid高效的防火墙.

doocoo · 发表于 2004-6-9 19:09:51

不是的. 用...redhat-as3 .内核是2.6.6..如果精华里找不到.我想过二天去书城...找一些我想要的资料..架成了再做个总结..

gouf123 · 发表于 2004-6-9 19:11:26

朋友，我告诉你。先看论坛的精华帖，有什么不懂的在说。你这样被人怎么帮你，难道去帮你做服务器？

doocoo · 发表于 2004-6-9 19:14:32

是的.我也是这样想的.对了我找了好多的资料..有关代理的.有一点是不明白的.就是做成了代理.我下面的客户机的网关是192.168.0.19想架成以后.不用再改下面的机子..在代理中写到.代理服务器成了以后.要在下面的IE设置里改..192.168.0.19:3128,

gouf123 · 发表于 2004-6-9 19:21:22

编辑/etc/squid/squid.conf,加以下内容：
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
http_access allow all
cache_dir ufs /squid 256 16 256
然后加载模块
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state
最后：
iptables -t nat -A PREROUTING -i eth0 -d ! 你的内部地址 -p tcp -m tcp \
--dport 80 -j REDIRECT --to-ports 3128

		自动登录	找回密码
密码			注册

自己写的一个防火墙脚本，并+了注释。

浏览过的版块