用一台linux主机做iptables防火墙
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-03-28
一台linux主机干这么多活:iptables DHCP squid samba
最近公司扩建了一个新的办公区,规模也就100人左右.
领导有几个要求:
1:不允许坐席上网,但是允许坐席上几个固定的网站(比如行政区划网).
2:允许办公室的后勤人员上网.
3:允许坐席拨VPN连接总部腾讯通.
公司拉的10M光纤,从光电设备出来后没有路由器.
我做了两个方案:
1:利用squid做个透明代理,然后做个DHCP分配IP地址给坐席.
squid负责控制端口跟网站
2:利用linux自带的iptables作为防火墙,控制端口,所有坐席的IP的包直接DROP.
利用squid给坐席代理,简单的那种,用IE上网.后勤部门则有iptables直接开放.
利用iptables开放VPN端口给所有IP地址,这样,公司里的任意一台电脑都能拨VPN了.
后来想了想,还是第二种方案比较好.
于是就做了第二个方案:
 公司的设备有限,只能拿有限的资源来干最多的活(相信大多数公司都是这样的)
找了个台式机,配置一般般,买了块100M网卡.
安装linux,我用的是CentOS5.5 把etho第一块网卡配上内网的IP地址:10.2.0.1
子网掩码:255.255.255.0 网关:10.2.0.1
第二块网卡:eth1:192.168.0.9(假设的外网IP地址)子网掩码:255.255.255.0 网关:192.168.0.1(假设的网关,真是网关跟IP地址跟运营商要就OK了)DNS:电信的填电信的,网通的填网通的不做解释了.
输入route命令,查看下路由信息,查看default gateway是多少,是不是外网的IP地址,如果是的话那就ok了,不是的话就设置成外网的网关,不然是出不去的.
正好你的机器就你内网的网关也就是10.2.0.1 我感觉内网gateway可以忽略.
都设置好以后 用这台机器分别ping 外网和内网网段,看看能不能ping通.都ping同了,在看看坐席上的电脑(随便找个,设置个10.2.0.*锻的IP,netmask 255.255.255.0, gateway 10.2.0.1)能不能ping通10.2.0.1-------都通了,就开始设置防火墙规则.
---->  开启内核转发的功能:方法有好几种
1:echo "echo 1 >/proc/sys/net/ipv4/ip_forward" >> /etc/rc.d/rc.local--后面这个是加入到开机启动, 重启后ip_forward这个文件自动会变成0,不是1
2:vi /etc/sysctl.conf 把net.ipv4.ip_forward =1 <--把0改成1
然后运行 sysctl.conf -p立即生效
------>清空防火墙规则
iptables -Fiptables -X iptables -Z --------->设置链的默认规则 iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP --------->一般防火墙都会开下面两条规则 iptables -A INPUT -i lo -j ACCEPT ---回环端口打开 iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT---已连接和已配置的规则允许 iptables -A POSTROUTING -s 10.2.0.0/255.255.0.0 -o eth1 -j SNAT --to-source 192.168.0.9 让内网的用户通过192.168.0.9出去. 这样这台电脑就相当于一个路由器了,  有个强大的iptables防火墙.
我是用FORWARD链控制内网上网的,例如:办公室电脑IP地址为10.2.0.3
那就添加规则:iptables -A FORWARD -s 10.2.0.3 -j ACCEPT这样这台电脑就可以上网了.
------------>再装上DHCP给坐席分配IP地址.
挂载光盘 mount /dev/cdrom /mnt
到mnt目录下找到挂载的光盘,找到dhcp安装包,直接用rpm安装就ok了.
初级的dhcp的配置很简单,只要分配个IP地址,DNS就可以了.
---------------->安装代理软件squid,也是找光盘的rpm包,我装的是64为的,把那两个64位的包装上就ok了.
这里说一下,为什么要用squid而不是直接用防火墙打开某个 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
关于用一台linux主机做iptables防火墙的所有评论
