當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

iptables控制较复杂案例

發布時間：2025/3/17 编程问答 27 豆豆

生活随笔收集整理的這篇文章主要介紹了 iptables控制较复杂案例小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

場景設定：

管理員：192.168.101.80

公司有三個部門：

工程部：192.168.2.21-192.168.2.20

軟件部門：192.168.2.21-192.168.2.30

經理辦公室：192.168.2.31-192.168.2.40

上班時間：周一到周五 8點-20點

工程部門：ftp? 下班后無限制

軟件部門：http? 不允許瀏覽sina，不允許使用迅雷，最大連接數3，不準聊天，不準看圖片，不準下載電影，下班后無限制。

經理辦公室：http和qq都可以，下班無限制

開始設置iptables表：

環境變量：

adminip=192.168.1.1.80timerange="--timestart 08:00 --timestop 20:00"

//下班后的時間范圍，因iptables只在00:00-23:59有效，故要分成2段。

timerange1="--timestart 08:01 --timestop 23:59"imerange2="--timestart 00:00 --timestop 07:59"

//工程部門ip范圍

iprange1="192.168.2.21-192.168.2.30"

//軟件部門ip范圍

iprange2="192.168.2.21-192.168.2.30"

//經理辦公室ip范圍

iprange3="192.168.2.31-192.168.2.40"

1、首先在設置全部禁止之前，要上ssh可以登錄，同時設置local回路通過。

iptables -A INPUT -s $adminip -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -d $adminip -p tcp -sport 22 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

2、把進，出，轉發三鏈策略設為DROP

iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP

3、軟件部門策略：

　　1）、首先讓軟件部門可以上網(通過透明代理服務器),然后再進行限制

iptables -A PREROUTING -m iprange --src-range $iprange2 -m time $timerange -p tcp --dport 80 –j REDIRECT –-to-ports 3128 //3128為本防火墻的squid服務端口 iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -p tcp --dport 80 -j ACCEPT //可以上網 iptables -p udp --dport 53 -j ACCEPT //可以訪問域名服務器 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

　　2)、對迅雷和qq進行控制

iptables -A FORWARD -m iprange $iprange2 -m time $timerange -m layer7 --17proto qq -j DROP iptables -A FORWARD -m iprange $iprange2 -m time $timerange -m layer7 --17proto xunlei -j DROP

4、經理辦公室

iptables -t nat -A PREROUTING -m iprange $iprange3 -p tcp --dport 80 -j REDIRECT --to-ports 3128 iptables -A FORWARD -m iprange --src-range $iprange3 -p udp --dport 53 -o eth0 -j ACCEPT iptables -A FORWARD -m iprange --src-range $iprange3 -m time $timerange -m layer7 --17proto qq -j ACCEPT

5、最后是工程部

iptables -t nat -A POSTROUTING -m iprange $iprange1 -m time $timerange -p tcp --dport 21 -j MASQUERADE iptables -A FORWARD -m iprange --src-range iprange1 -m time $timerange -p tcp --dport 21 -j ACCEPT

6、下班后控制

iptables -A FORWARD -s 192.168.2.0/24 -m time $timerange1 -j ACCEPT iptables -A FORWARD -s 192.168.2.0/24 -m time $timerange2 -j ACCEPT iptables -t nat -A PREROUTING -m time $timerange1 -p tcp --dport 80 -j REDIRECT --to-ports 3128 iptables -t nat -A PREROUTING -m time $timerange2 -p tcp --dport 80 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -m time $timerange1 -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -m time $timerange2 -o eth0 -j MASQUERADE

7、寫DMZ區域的(用遠程登陸模擬)
　　　　

iptables -t nat -A PREROUTING -d 192.168.101.40 -p tcp --dport 3389 -j DNAT --to 192.168.3.100 iptables -t filter -A FORWARD -d 192.168.3.100 -p tcp --dport 3389 -j ACCEPT

總結

以上是生活随笔為你收集整理的iptables控制较复杂案例的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。