實驗案例：公司使用一臺運行RHEL5系統(tǒng)的服務(wù)器作為網(wǎng)關(guān)，分別連接三個網(wǎng)絡(luò)，其中LAN1為普通員工電腦所在的局域網(wǎng)，LAN2為DNS緩存服務(wù)器所在的局域網(wǎng)。eth0通過10M光纖接入Internet。為了有效的管理網(wǎng)絡(luò)環(huán)境及增強內(nèi)部網(wǎng)絡(luò)的安全性，需要配置iptables防火墻規(guī)則實現(xiàn)IP地址和端口的過濾控制。網(wǎng)絡(luò)拓撲如下：

需求描述：

入站控制：

1.允許Internet上的主機訪問網(wǎng)關(guān)服務(wù)器的21、25、80、110、143端口。

2.允許IP地址為201.12.13.14的遠程主機訪問網(wǎng)關(guān)22端口，并記錄訪問日志（每15分鐘記錄一次）。

3.允許IP地址為192.168.1.5、MAC地址為00:0C:27:30:4E:5D的主機訪問網(wǎng)關(guān)的22端口。

4.僅允許局域網(wǎng)主機（LAN1:192.168.1.0/24）訪問3128端口的代理服務(wù)。

轉(zhuǎn)發(fā)控制：允許LAN1的主機通過網(wǎng)關(guān)訪問位于LAN2的DNS的服務(wù)器（192.168.2.2）。

其它任何非明確許可的數(shù)據(jù)包入站訪問均予以丟棄；數(shù)據(jù)包出站訪問均允許。

編寫的iptables腳本如下：

#!/bin/bash ?

#This?is?the?firewall?configuration ?

?

iptables?-t?nat?-F? ?

iptables?-F ?

?

iptables?-P?INPUT?DROP?

iptables?-P?FORWARD?DROP?

?

iptables?-A?INPUT?-p?tcp?-m?multiport?--dport?21,25,80,110,143?-j?ACCEPT ?

?

iptables?-A?INPUT?-p?tcp?--dport?22?-s?201.12.13.14?-j?ACCEPT ?

?

iptables?-A?INPUT?-p?tcp?--dport?22?-m?limit?--limit?4/hour?-j?LOG ?

?

iptables?-A?INPUT?-p?tcp?--dport?22?-s?192.168.1.5?-m?mac?--mac-source?00:0C:27:30:4E:5D?-j?ACCEPT ?

?

iptables?-A?INPUT?-p?tcp?--dport?3128?-s?192.168.1.0/24?-j?ACCEPT ?

?

iptables?-A?FORWARD?-p?udp?--dport?53?-s?192.168.1.0/24?-j?ACCEPT ?

iptables?-A?FORWARD?-p?udp?--sport?53?-d?192.168.1.0/24?-j?ACCEPT ?

? ?

?

最后還要開啟Linux網(wǎng)關(guān)服務(wù)器的路由轉(zhuǎn)發(fā)功能：

# vi /etc/sysctl.conf

net . ipv4 .ip_forward = 1

本文轉(zhuǎn)自 kk5234 51CTO博客，原文鏈接：http://blog.51cto.com/kk5234/397029，如需轉(zhuǎn)載請自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的编写iptables脚本实现IP地址、端口过滤的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。