iptables配置问题 大家一起来啊

n3tl04d

--------------------------------------------------------------------------------

eth0 内网DMZ网卡 10.0.0.1
eth1 内网网卡 192.168.0.6
eth2

想实现目标
实现透明代理
内网可以访问外网
内网电脑不可访问代理服务器 防止内部有人恶意攻击
开放DMZ的web和ftp服务等外网可访问到!
DMZ电脑不可访问外网、不可以访问内网和代理服务器! DmZ的电脑是很容易被攻下的 ^_^
代理服务器不可上访问外网 防止有人取得一般用户权限后，通过网上下载exploit提权
允许远程ssh
管理员电脑可以随意访问所有


#!/bin/sh
echo "Enable IP Forwarding..."
echo 1 >/proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
#========================defresh all chains ==========================
/sbin/iptables -F -t nat
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -Z
#======================= forbid forward alll packet==================
#禁止所有包通过 等下要通过的再放过
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#对本地放行
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#透明代理 内网可以访问外网 forward包全放行
#========================= nat =============================
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT


#发布DMZ http服务器
#==================Publish internat web service =========================
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.2:80
iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.6
iptables -A FORWARD -p tcp -d 10.0.0.2 --dport 80 -j ACCEPT

#发布DMZ ftp服务器
#================FTP serivce============================
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to-destination 10.0.0.2:21
iptables -A FORWARD -p tcp -d 10.0.0.2 --dport 21 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.0.0.2 -p tcp --dport 21 -j SNAT --to 10.0.0.1
iptables -t nat -A PREROUTING -p tcp --dport 3000:3020 -i ppp0 -j to 192.168.0.3:3000-3020 #这句可不要

#DNS转发
#=====================================DNS========================
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to-destination 202.96.128.86
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 53 -j DNAT --to-destination 202.96.128.86

#===================SSH==========================================
iptables -A INPUT -p tcp -i ppp0 --dport 22 -j ACCEPT

#对管理员的电脑的特权
#=============my computer======================
iptables -I INPUT -s 192.168.0.3 -j ACCEPT
iptables -I FORWARD -s 192.168.0.3 -j ACCEPT
iptables -I OUTPUT -s 192.168.0.3 -j ACCEPT



Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
LISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT all -- 192.168.0.3 anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT tcp -- anywhere 10.0.0.2 tcp dpt:http
ACCEPT tcp -- anywhere 10.0.0.2 tcp dpt:ftp
ACCEPT all -- 192.168.0.3 anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- 192.168.0.3 anywhere


1.管理员电脑和代理服务器不能连接
其它就没试了
2.还有为什么INPUT和OUTPUT链都会有
ACCEPT all -- anywhere anywhere
3.发布ftp服务器那里
192.168.0.3:3000-3020 不能3000-3020这样写？那要怎么写？3000:3020

on-fire

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
有问题，-m tcp是什么意思，应该没有tcp这个模块吧。您使用了HTTP proxy，是squid吗？

iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
包出去了，那回来的包呢，如何转发呢？

iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.6
到底您的http服务器在那里？在DMZ内还是在内网中？

ftp是主动式的还四被动式？

1.转发的包有去没有回当然管理员电脑和代理服务器不能连接

2.最理想的办法是贴出iptables-save的结果，看您的规则有点累，您写的比较工整，但表使用的顺序太乱了。

3.192.168.0.3:3000-3020是一般的规则，请按照来做。

至于您要实现的目标，请看“网络与硬件”版中白金大哥教程后再实现。

[ 本帖最后由 on-fire 于 2006-8-10 09:23 编辑 ]

采风

看着就一个字：晕，建议找篇iptables应用的文章好好看看然后再动手～@_@