一般LINUX防火墙（iptalbes）的运用无非是用nat表（.docVIP

一般LINUX防火墙（iptalbes）的运用无非是用nat 表（PREROUTING、OUTPUT、POSTROUTING）和filter表(FORWARD、INPUT、OUTPUT)。我们只有知道了数据的流向才能正确的配置防火墙。现用一个相对比较直观的图形解释数据的走向。（此处只作最基本的iptables数据流走向说明。） ????? 上图是你的家，蓝色的圈是你家院子，有两扇大门①⑥进出，你家有两个房间，分别为eth0和 eth1房间，每个房间有两个门可以进出②③④⑤。旁边是张三和李四的家，张三家和李四家之间的往返必须要过你家院子。????? 现假设，eth0网卡IP为：链接内网，eth1网卡IP为：11链接互连网。????? 再假设，“张三家”为一个局域网，“李四家”为互连网。进我家院子用PREROUTING，出我家院子用FORWARD，进我家门用INPUT，出我家门用OUTPUT。（当我们的操作是征对服务器本身而言的话，如SSH操作，此时肯定会用到PREROUTING、INPUT和OUTPUT，当数据只是通过服务器去访问别的机器时会用到PREROUTING和FORWARD。） ?又假设，默认这六个门都是关的。生成如下代码。?###########################################################################?*nat?################################?:PREROUTING??? DROP? [0:0]?:OUTPUT???????? DROP? [0:0]?:POSTROUTING?? DROP? [0:0]?################################?-F ?-Z?-X?### 以后要新增语句请在此处增加。?-L –v?COMMIT?################################################?*filter?##############################?:INPUT????????? DROP? [0:0]?:FORWARD????? DROP? [0:0]?:OUTPUT??????? DROP? [0:0]?##############################?-F?-Z?-X ?### 以后要新增语句请在此处增加。?-L –v ?COMMIT?##########################################################################局域网用户通过服务器共享上网?(即从张三家到李四家)?1)首先进①号门，再从⑥号门走出。-A? PREROUTING –p tcp --dport 80 –j ACCEPT #允许TCP 80端口通过服务器-A? FORWARD –p tcp --dport 80 –j ACCEPT??? #允许TCP80 端口转发-A? FORWARD –p tcp --sport 80 –j ACCEPT??? #允许接收对方为TCP80端口反回的信息?2)其次，由于我们上网打的是域名，为此有一个公网DNS服务器为我们服务，那当然也要允许内网机器与DNS服务器的数据转发。DNS用UDP 53或者 TCP 53端口。两者用其一个就行。?-A? PREROUTING –p udp? --dport 53 –j ACCEPT?? ?-A? FORWARD –p udp? --dport 53 –j ACCEPT????? ?-A? FORWARD –p udp? --sport 53 –j ACCEPT????? ?3）再次，由于局域网的地址在公网上是不被允许的，所以在出公网前应该把其地址转为服务器地址进行伪装。?-A? POSTROUTING –s /24 –j SNAT –to? 11允许局域网和公网可以访问服务器的SSH?假设SSH采用默认端口TCP 22 。此要求相当于要进我的家的TCP 22号门，为此我们首先要进我家院子，然后再进我家门，最后走出我家门这样的过程。此操作是征对服务器本身的操作。-A? PREROUTING –p tcp --dport 22 –j ACCEPT-A? INPUT –p tcp --dport 22 –j ACCEPT -A? OUTPUT –p tcp --sport 22 –j ACCEPT允许内网机器可以登录MSN和QQ。（MSN和QQ默认是不允许登录的）QQ一般来说可以从TCP 80、8000、443及UDP 8000、