编写iptables脚本实现IP地址、端口过滤

实验案例：公司使用一台运行RHEL5系统的服务器作为网关,分别连接三个网络,其中LAN1为普通员工电脑所在的局域网,LAN2为DNS缓存服务器所在的局域网.eth0通过10M光纤接入Internet.为了有效的管理网络环境及增强内部网络的安全性,需要配置iptables防火墙规则实现IP地址和端口的过滤控制.网络拓扑如下：

需求描述：

入站控制：

1.允许Internet上的主机访问网关服务器的21、25、80、110、143端口.

2.允许IP地址为201.12.13.14的远程主机访问网关22端口,并记录访问日志（每15分钟记录一次）.

3.允许IP地址为192.168.1.5、MAC地址为00:0C:27:30:4E:5D的主机访问网关的22端口.

4.仅允许局域网主机（LAN1:192.168.1.0/24）访问3128端口的代理服务.

转发控制：允许LAN1的主机通过网关访问位于LAN2的DNS的服务器（192.168.2.2）.

其它任何非明确许可的数据包入站访问均予以丢弃；数据包出站访问均允许.

编写的iptables脚本如下： 拥有帝国一切，皆有可能。欢迎访问phome.net

#!/bin/bash  
#This is the firewall configuration  
 
iptables -t nat -F   
iptables -F  
 
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
 
iptables -A INPUT -p tcp -m multiport --dport 21,25,80,110,143 -j ACCEPT  
 
iptables -A INPUT -p tcp --dport 22 -s 201.12.13.14 -j ACCEPT  
 
iptables -A INPUT -p tcp --dport 22 -m limit --limit 4/hour -j LOG  

拥有帝国一切，皆有可能。欢迎访问phome.net 
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.5 -m mac --mac-source 00:0C:27:30:4E:5D -j ACCEPT  
 
iptables -A INPUT -p tcp --dport 3128 -s 192.168.1.0/24 -j ACCEPT  
 
iptables -A FORWARD -p udp --dport 53 -s 192.168.1.0/24 -j ACCEPT  
iptables -A FORWARD -p udp --sport 53 -d 192.168.1.0/24 -j ACCEPT  
   
 

还要开启Linux网关服务器的路由转发功能：

# vi /etc/sysctl.conf

net . ipv4 .ip_forward = 1

本文出自 “大糖糕僧的IT求经之路” 博客,请务必保留此出处http://kk5234.blog.51cto.com/1006247/397029

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!