用linux构建路由器
时间:2009-03-23 来源:sjhf
|
网络结构如图,Linux,192.168.3.0./24A
与192.168.1.0相连,
eth2备注:
命令。
。给这个网络接口分配地址192.168.1.15为了使这个地址不再计算机重新启动后消失,编辑/etc/sysconfig/network-scripts/ifcfg-eth0服务器端核心的两句:
的路由功能:
#echo 1 >/proc/sys/net/ipv4/ip_forward
或者说:IP网卡当作代表号,对外连线(③设置防火墙,增加规则
数据包,因为该IP④缺省的策略(一般不要设,会导致网络不通),最基本的原则是“先拒绝所有的数据包,然后再允许需要的”。下面来为每一个链设置缺省的规则:
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
⑤如果我们的Linux服务)的数据过虑,我们必须加上如下的规则:
#iptables -A INPUT -p udp -s 0/0 -d 0/0 --dport 177 -j ACCEPT
,用以接受从所有的源(-s 0/0)的数据包
端口)
#iptables -I INPUT -i eth0 -p udp 192.168.2.155 --dport 177 -j
ACCEPT(说明 ,对外提供有条件的服务。前者是系统的核心子网,后者易受到外部的攻击,是一个比较危险的子网环境。一方面要求严格保护内部子网,另一方面又要满足DMZ⑦防火墙规则
#iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p ICMP -j DROP(不允许从外网向内网发ping)
#iptables –A INPUT –i eth1 –s 0.0.0.0/0 –p TCP –port ! 80 –j DROP(只允许外网访问内网的HTTP⑴添加广播路由
#route add -host 255.255.255.255 -dev eth1(若要系统启动后自动添加路由,需要修改/etc/rc.local
功能
# iptables –A PREROUTING -t nat -p tcp -s ! 192.168.0.0/24 --dport 4899 -j DNAT --to 192.168.0.2:4899
协议4899端口上
表中最常用的三个目标是ACCEPT。DROP⑷增加规则
地址范围被管理员怀疑有大量恶意攻击者在活动:
# iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP
注意这里的A网络上的恶意攻击者总是在变化的,因此需要不断改变IP地址被分配给一些清白的用户,那么这时这些用户的数据包将无法通过你的网络。这种情况下,可以使用带-D创建一个具有很好灵活性、可以抵御各种意外事件的规则需要大量的时间。对于那些没有时间这样做的人,最基本的原则是“先拒绝所有的数据包,然后再允许需要的”。下面来为每一个链设置缺省的规则:
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
⑺清除所有的规则
#iptables –F(清除nat
|
相关阅读 更多 +
