- 论坛徽章:
- 0
|
感谢上面各位好心人给出的指导,我现在把上面的总结一下,各位再帮忙看看。
需求:外网卡:eth0 :220.135.22.* 内网卡:192.168.1.2
要求 1.服务器对外只提供HTTP服务,即只开放80端口,其他一律不接受。
2.内网可以通过服务器上网,并且通过内网连接服务器进行FTP,SSH操作。
脚步如下:
#!/bin/bash
/sbin/modprobe ip_conntrac
/sbin/modprobe ip_conntrack_ftp
echo "1" > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 80 -j ACCEPT
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.1.2 -m multiport --dports 21,22,53,80 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.2/32 -o eth0 -j SNAT --to 220.135.22.*
请大家看看,作为一个www服务器安全系数够了吗?还需要加什么吗? |
|