ChinaUnix 讲座-精选课件.pptVIP

7. 实战.2 CU: 0 54(eth1) 54(eth0) client: web server: 54 (eth2) * 7. 实战.2－参考答案 CU: ifconfig eth0 0 netmask Server: ifconfig eth0 netmask route add default gw 54 Client: ifconfig eth0 netmask route add default gw 54 Firewall: ifconfig eth0 54 netmask ifconfig eth1 54 netmask ifconfig eth2 54 netmask service iptables stop modprobe ip_nat_ftp echo 1 /proc/sys/net/ipv4/ip_forward iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT iptables -P INPUT DROP iptables -t nat -A POSTROUTING -s /24 –o eth0 -j SNAT --to 54 iptables -t nat -A PREROUTING -d 54 -p tcp -dport 80 -j DNAT --to iptables -A FORWARD -i eth2 -o eth1 -m state --state NEW -j DROP * 3.4 动作（处理方式） ACCEPT DROP SNAT DNAT MASQUERADE * 3.4.1 -j ACCEPT -j ACCEPT 通过，允许数据包通过本链而不拦截它 类似 Cisco 中 ACL 里面的 permit 例如： iptables -A INPUT -j ACCEPT 允许所有访问本机 IP 的数据包通过 * 3.4.2 -j DROP -j DROP 丢弃，阻止数据包通过本链而丢弃它 类似 Cisco 中 ACL 里的 deny 例如： iptables -A FORWARD -s 9 -j DROP 阻止来源地址为 9 的数据包通过本机 * 3.4.4 -j DNAT -j DNAT --to IP[-IP][:端口-端口]（nat 表的 PREROUTING 链） 目的地址转换，DNAT 支持转换为单 IP，也支持转换到 IP 地址池 （一组连续的 IP 地址） 例如： iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \ -j DNAT --to 把从 ppp0 进来的要访问 TCP/80 的数据包目的地址改为 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \ -j DNAT --to :80 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \ -j DNAT --to -0 * 3.4.3 -j SNAT -j SNAT --to IP[-IP][:端口-端口]（nat 表的 POSTROUTING 链） 源地址转换，SNAT 支持转换为单 IP，也支持转换到 IP 地址池 （一组连续的 IP 地址） 例如： iptables -t nat -A POSTROUTING -s /24 \ -j SNAT --to 将内网 /24 的原地址修改为 ，用于 NAT iptables -t nat -A POSTROUTING -s /24 \ -j SNAT --to -0 同上，只不过修改成一个地址池里的 IP * 3.4.5 -j MASQUERADE -j MASQUERADE 动态源地址转换（动态 IP 的情况下使用） 例如： iptables -t nat -A POSTROUTING -s /24 -j MASQUERADE 将源地址是 /24 的数据包进行地址伪装 * 3.5 附加模块 按包状态匹配 （state） 按来源 MAC 匹配（mac） 按包速率匹配 （limit） 多端口匹配 （multiport） * 3.5.1 state -m state --state 状态 状态：NEW、RE