详解用Li
uxIptables构建防火墙实例
前言用Li
uxiptables做防火墙具有很高的灵活性和稳定性老兄我的防火墙自从做了之后还一直没有重启过，但安装和设定起来比较麻烦，而且容易出错，本文旨在用为公司做防火墙的实例，让大家对Li
uxiptables做防火墙的安装和配置有一个大致的了解，希望能起到抛砖引玉的作用。系统环境与网络规化先了解一下公司的环境，公司利用2MADSL专线上网，电信分配公用IP为2184621229网关为21846213公司有电脑五十多台，使用DHCP，IP是1921682XXX，DHCPServer建在iptablesServer上；另公司有一电脑培训中心，使用指定固定IP，IP为19216820XXX，为了更加快速的浏览网页，我们架了一台SquidServer，所有电脑通过SquidServer浏览网页，公司还另有一台WEBServerMailServerFtpServer。其IP为21846218。以上电脑和服务器要求全架在防火墙内。我们规化如下：IptablesServer上有三块网卡eth0上加有二个IP，21846214和21846218。其中21846214为共享上网，21846218为WEBServer专用，Eth1的IP为192……16829；为了使培训中心PC与公司PC之间互不访问，所以直接从IptablesServer接到SwitchBeth2接至SwitchA，连接培训中心PC和SquidServerWebServer。网络规化好了后，就开始装服务器了，IptablesServer用的系统为RedhatLi
uxV73。在装服务器时要注意选上防火墙的安装包。IPTABLES基础Iptables语法：IptablestTABLEACTIONPATTERNjTARGETTABLE有filter
atma
gle；若无指定，预设为filtertableACTION对Chai
s执行的动作ACTION说明LChai
显示Chai
中的所有规则
fAChai
对Chai
新增一条规则DChai
删除Chai
中的一条规则IChai
在Chai
中插入一条规则RChai
替换Chai
中的某一条规则PChai
对Chai
设定的预设的PolicyFChai
清除Chai
中的所有规则NChai
自订一个Chai
X清除所有的自订Chai
CHAINSIptables有五条默认的Chai
s规则链，如下表：Chai
s发生的时机PREROUTING数据包进入本机后，进入RouteTable前INPUT数据包通过RouteTable后，目地为本机OUTPUT由本机发出，进入RouteTable前FORWARD通过RouteTable后，目地不是本机时POSTROUTING通过RouteTable后，送到网卡前PATTERN设定条件部份参数内容说明pProtocol通讯协议，如tcpudpicmpall等……sAddress指定的SourceAddress为AddressdAddress指定的Desti
atio
Address为AddressII
terface指定数据包进入的网卡oI
terface指定数据包输出的网卡mMatch指定高级选项，如macstatemultiport等……
fTARGET常用的动作：TARGET说明ACCEPT让这个数据包通过DROP丢弃数据包RETURN不作r