Centos6.3利用iptables配置網關防火墻

系統環境：centos6.3 x64

IPTABLES：系統自帶

一.部署環境：

1.關閉SELINUX

# setenforce 0

# vi /etc/sysconfig/selinux

---------------

SELINUX=disabled

---------------

2.清空默認策略并重啟iptables

# iptables -t NAT -F

# iptables -F

# service iptables save

# service iptables restart

3.開啟服務器端路由轉發功能

# vi /etc/sysctl.conf

---------------------

net.ipv4.ip_forward = 1

---------------------

# sysctl -p

本例我們模擬一個WEB站點,只在防火墻處開啟SSH:22和WEB:80端口,并配置防火墻到內網服務器22與80的端口映射，若開啟其他端口服務，請自行修改

二.網關防火墻iptables配置：

1.內部回環網絡永遠打開.

# iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT

# iptables -A OUTPUT -o lo -s 127.0.0.1 -j ACCEPT

2.用DNAT做端口映射：

# iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 22 -j DNAT --to 192.168.100.10

# iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j DNAT --to 192.168.100.10

# 用SNAT作源地址轉換（關鍵），以使回應包能正確返回

# iptables -t nat -A POSTROUTING -d 192.168.100.10 -p tcp --dport 22  -j SNAT --to 192.168.100.1

# iptables -t nat -A POSTROUTING -d 192.168.100.10 -p tcp --dport 80  -j SNAT --to 192.168.100.1

3.打開FORWARD鏈的相關端口(路由轉發)

# iptables -A FORWARD -o eth2 -d 192.168.100.10 -p tcp --dport 22 -j ACCEPT

# iptables -A FORWARD -i eth2 -s 192.168.100.10 -p tcp --sport 22 -m state --state

ESTABLISHED,RELATED -j ACCEPT

# iptables -A FORWARD -o eth2 -d 192.168.100.10 -p tcp --dport 80 -j ACCEPT

# iptables -A FORWARD -i eth2 -s 192.168.100.10 -p tcp --sport 80 -m state --state

ESTABLISHED,RELATED -j ACCEPT

4.子網接受其他的tcp包.

# iptables -A FORWARD -p tcp -i eth2 -o eth0 -j ACCEPT

5.子網可以訪問其他UDP協議的公網服務.

# iptables -A FORWARD -p udp -i eth0 -s 192.168.0.0/24 -o eth2  -j ACCEPT

# iptables -A FORWARD -p udp -i eth2 -d 192.168.0.0/24 -o eth0 -m state --state ESTABLISHED -j ACCEPT

6.子網訪問公網的模式是偽裝成網關的地址,使內網用戶可路由出外網

# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE

7.拒絕其他所有策略：

# iptables -P FORWARD REJECT

# iptables -A INPUT -j REJECT

# iptables -P OUTPUT REJECT

8.保存并重啟服務:

# service iptables save

# service iptables restart

----------配置完畢-----------