iptables 配置方法介绍(2)

 

选定预设的政策

接着，要选定各个不同的规则链，预设的政策为何。作法如下∶

 

 

 

预设全部丢弃∶

 

 

 

###-----------------------------------------------------###

# 设定 filter table 的预设政策

###-----------------------------------------------------###

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

 

 

 

 

 

或者预设全部接受∶

 

 

 

###-----------------------------------------------------###

# 设定 filter table 的预设政策

###-----------------------------------------------------###

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

 

 

 

 

 

各个规则链的预设政策可独立自主的设定，不必受其它链的影响。

 

 

 

以下练习，若目标为 DROP，则 policy 请设为 ACCEPT；若目标为 ACCEPT，则 policy 请设为 DROP，如此方可看出效果。

 

 

 

开放某一个介面

作法如下∶

 

 

 

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

 

 

 

注∶IPFW 或 Netfilter 的封包流向，local process 不会经过 FORWARD Chain，

因此 lo 只在 INPUT 及 OUTPUT 二个 chain 作用。

 

 

 

iptables -A INPUT -i eth1 -j ACCEPT

iptables -A OUTPUT -o eth1 -j ACCEPT

iptables -A FORWARD -i eth1 -j ACCEPT

iptables -A FORWARD -o eth1 -j ACCEPT

 

 

 

 

 

IP 伪装

使内部网路的封包经过伪装之后，使用对外的 eth0 网卡当作代表号，对外连线。作法如下∶

 

 

 

###-----------------------------------------------------###

# 启动内部对外转址

###-----------------------------------------------------###

 

 

 

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP

 

 

 

 

 

上述指令意指∶把 172.16.0.0/16 这个网段，伪装成 $FW_IP 出去。

 

 

 

虚拟主机

利用转址、转 port 的方式，使外部网路的封包，可以到达内部网路中的伺服主机，俗称虚拟主机。这种方式可保护伺服主机大部份的 port 不被外界存取，只开放公开服务的通道(如 Web Server port 80)，因此安全性甚高。