编写iptables防火墙脚本文件.doc

编写iptables脚本实现IP地址、端口过滤 实验环境： 需求描述 入站控制： 允许从Internet访问本机的21、25、80、110、143端口 允许从主机 4 访问本机的22端口（远程登录服务），每15分钟记录一次日志 允许从主机 （MAC地址为00:0C:27:30:4E:5D）访问网关的22端口 允许局域网主机（LAN1：/24）访问本机的3128端口（代理服务） 转发控制： 允许LAN1的主机访问位于LAN2的DNS服务器（） 需求描述（续） 其他未经明确许可的入站数据包，均予以丢弃 本机出站的数据包均允许 将以上各条防火墙策略，整理为Shell脚本文件 实现思路 filter表INPUT、FORWARD链的缺省策略设为DROP 针对实验需求，分别编写iptables规则并进行测试 使用“-s”、“-d”选项指定源、目标IP地址 使用 “--dport”选项指定源、目标端口 在FORWARD链中添加对转发数据包的控制规则 在INPUT链中添加对入站数据包的控制规则 将上述各规则整理为防火墙脚本，注意如下内容： 开启路由转发 预先定义网卡、局域网、各接口IP地址等变量 注意各条规则的顺序关系 实现步骤： 1.将 filter表INPUT、FORWARD链的缺省策略设为DROP 2. 允许从Internet访问本机的21、25、80、110、143端口 ①编写iptables规则 ②查看规则列表 ③在外网访问80端口（dns端口被拒绝了，所以只能用ip访问） ④使用端口发送邮件（不知什么原因验证不了） ⑤使用端口接收邮件（不知什么原因登陆不了） ⑥在服务器查看那些端口属于侦听状态 3. 允许从主机 4 访问本机的22端口（远程登录服务），每15分钟记录一次日志 ①编写iptables规则 或者 ②在用外网用验证结果 ③查看日志 或者 4. 允许从主机 （MAC地址为00:0C:27:30:4E:5D）访问网关的22端口 ①添加xt_mac模版 ②编写iptables规则 ③在进行测试 5.允许局域网主机（LAN1：/24）访问本机的3128端口（代理服务） ①编写iptables规则(代理服务将在第四章学，所以现在我只写规则，不验证) 6. 转发规则 ①编写允许LAN1的主机访问位于LAN2的DNS服务器（）的 iptables规则 查看FORWARD和INTERNET链中的规则 ②在文件中设置网关开启转发 ③加载文件中的配置 ④用LAN1的主机pingLAN2的主机 ⑤在内网用验证DNS服务是否可以正常使用 ⑥在内网访问网站 ⑦在内网访问fostfix邮件服务器 7. 将以上各条防火墙策略，整理为Shell脚本文件 ①在编写脚本文件 ②执行脚本 ③查看INPUT链 ④查看FORWARD链 ⑤查看INTERNET链 ⑥打开网站测试 ⑦用VLAN1ping通VLAN2 ⑧验证ssh的端口 编写的脚本： #!/bin/bash # # bianliang LAN_IP=/24 LAN_IF=eth0 DMZ_IP=/24 DMZ_IF=eth1 WAN_IP=/24 WAN_IF=eth2 MOD=/sbin/modprobe LES=/sbin/iptables MAC=00:50:56:c0:00:01 # # neihemokuai /sbin/depmod -a $MOD ip_tables $MOD ip_conntrack $MOD iptable_filter $MOD iptable_nat $MOD iptable_mangle $MOD iptable_raw $MOD ipt_REJECT $MOD ipt_LOG $MOD ipt_iprange $MOD xt_tcpudp $MOD xt_state $MOD xt_multiport $MOD xt_mac $MOD xt_limit $MOD ip_nat_ftp $MOD ip_nat_irc $MOD ip_conntrack_ftp $MOD ip_conntrack_irc # # luyou zhuanfa echo 1 /proc/sys/net/ipv4/ip_forward # /sbin/sysctl -w net.ipv4.ip_forward=1 # # iptables guizi $LES -X $LES -t nat -X $LES -t mangle -X $LES -t raw -X $LES -t filter -X $LES -F $LES -t nat -F $LES -t mangle -F $LES -t raw -F $LES -t filter -F $LES