#!/bin/bash
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
/sbin/iptables -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j DNAT --to 192.168.0.1:80
/sbin/iptables -A PREROUTING -d 1.2.3.4 -p tcp --dport 25 -j DNAT --to 192.168.0.2:25
/sbin/iptables -A PREROUTING -d 1.2.3.4 -p tcp --dport 443 -j DNAT --to 192.168.0.1:443
/sbin/iptables -A PREROUTING -d 1.2.3.4 -p tcp --dport 3306 -j DNAT --to 192.168.0.3:3306
/sbin/iptables -A PREROUTING -d 1.2.3.4 -p tcp --dport 22222 -j DNAT --to 192.168.0.4:22
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
原帖由 ji.hf_space 于 2009-3-16 14:30 发表
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
这句话的意思是什么呀,
我个人理解,既然防火墙充当网关了。那就没有INPUT的行为了,它只是起到转发的。他提供的功能只是访问控 ...
未命名.JPG (262.35 KB, 下载次数: 18)
未命名.JPG (18.35 KB, 下载次数: 22)
原帖由 ji.hf_space 于 2009-3-16 14:47 发表
我还想问一下,我这么配置之后还有什么安全隐患吗?能达到那个目的吧,就是内网用户可以通过80和443端口访问Internet,是通过nat好一点还是通过forward好一些,他们各自的利弊是什么?而外网无法访问内网,并且 ...
原帖由 SMEWL 于 2009-3-17 08:00 发表
LZ第三步的命令能执行吗?FILTER链怎么可以用NAT的GETTAR呢?第二步中把访问各服务器的包都转给了防火墙自己的DMZ口了,这是要做什么呢?怕是实际不了你的愿望。。。。。
原帖由 liu2g 于 2009-3-18 12:20 发表
呵呵, 怎么用FORWARD来做SNAT了, 还没搞清楚每条链的用法吧;
而且所有的链都DROP了, 就靠这几条规则估计是不行的吧, 在DNAT和SNAT之后, FORWARD, POSTROUTING, PREROUTING也要有相应的规则包才能转发, 要不就全 ...
欢迎光临 Chinaunix (http://bbs.chinaunix.net/) | Powered by Discuz! X3.2 |