Linux代理服务器与防火墙安装与应用
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-05-01
接口中的所有数据包
示:iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
INPUT规则链中添加规则,允许eth0网络接口来自192.168.1.0/24子网的所有数据包
删除规则
iptables –D命令用于删除指定规则链中的规则
示:iptables -D INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
将INPUT规则链中 添加的关于eth0网络接口的规则删除
设置内置规则链的默认策略
iptables 规则表的内建规则链具有“默认策略”的属性,默认值是ACCEPT,即默认策略将接受不符合任何规则的数据包,iptables –P命令可以设置指定规则链的默认策略
示:iptables -P INPUT DROP
更改INPUT规则链的默认策略为DROP(丢弃)
设置Linux作为网关服务器
在Linux中实现IP伪装功能(NAT)主要由iptables命令实现,操作步骤:
设置Linux内核支持IP数据包的转发
加载实现NAT功能主要的内核模块
对iptables中的规则表进行初始化
拥有帝国一切,皆有可能。欢迎访问phome.net设置规则链的默认策略
添加IP伪装规则
 设置IP伪装的操作步骤比较复杂,因此我这里通过编写shell脚本为完成(以便修改、调试、和执行),使用脚本进行防火墙的配置也是Linux中防火墙的常用配置方法
我这里把此脚本命名为:iptables_nat
示:iptables_nat
此脚本一行命令实现了IP伪装的功能
示:iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth1 -j MASQUERADE
有另一命令与上面的命令所达到的目的是一样的:
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 外网口的公网IP地址(如我这里的202.69.133.134)
以上iptables命令在nat规则表的POSTROUTING规则链中添加了规则,规则中-s 172.16.0.0/16表示数据包的源地址为172.16.0.0/16子网;-o eth1表示数据包的流出网络接口是eth1(一般为外网口),eth1网络接口具有公网IP;-j MASQUERADE表示对数据包进行的处理,即将符合条件的数据包进行IP伪装.整个规则的作用是将来自172.16.0.0/16子网并由eth1网络接口流出的数据进行IP伪装,将数据包的源地址转换为eth1网络接口的公网IP地址
iptables_na脚本建立后需要使用chmod命令设置脚本对用户具有执行权限(或直接使用bash命令执行)
此方法使用./iptables_nat来执行脚本
若直接使用bash命令执行则
示:bash iptables_nat
查看nat规则表:
示:iptables -t nat -L
添加规则允许80端口通过:
示:iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptablles -A OUTPUT -o eth1 -p tcp --dport 80 -j ACCEPT
在客户机访问:
缓存代理squid
拥有帝国一切,皆有可能。欢迎访问phome.net执行iptables_nat脚本后,Linux主机将具有透明代理功能,如果来自内部网络中的数据包是访问www服务的,那么它将重定向到squid服务器提供代理服务;如果数据包访问的是非www服务,则将进行IP伪装处理
从以上iptables命令的结果中可以看到nat表的PREROUTING规则链中已经存在实现透明代理的规则
为使其永久生效将其保存至/etc/sysconfig/iptables文件中
使用透明代理的客户机需要将以上配置的Linux服务器设置为默认网关,如果能够正确访问外部网站,则说明透明代理配置成功
拥有帝国一切,皆有可能。欢迎访问phome.net |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
关于Linux代理服务器与防火墙安装与应用的所有评论
