一般LINUX防火墻（iptalbes）的運用無非是用nat 表（PREROUTING,、OUTPUT、POSTROUTING）和filter表(FORWARD,、INPUT,、OUTPUT)。我們只有知道了數(shù)據(jù)的流向才能正確的配置防火墻?，F(xiàn)用一個相對比較直觀的圖形解釋數(shù)據(jù)的走向,。

（此處只作最基本的iptables數(shù)據(jù)流走向說明。）

上圖是你的家,，藍色的圈是你家院子,，有兩扇大門①⑥進出，你家有兩個房間,，分別為eth0和 eth1房間,，每個房間有兩個門可以進出②③④⑤。旁邊是張三和李四的家,，張三家和李四家之間的往返必須要過你家院子,。

現(xiàn)假設(shè)，eth0網(wǎng)卡IP為：192.168.5.1鏈接內(nèi)網(wǎng),，eth1網(wǎng)卡IP為：218.100.100.111鏈接互連網(wǎng),。

再假設(shè)，“張三家”為一個局域網(wǎng),，“李四家”為互連網(wǎng),。進我家院子用PREROUTING，出我家院子用FORWARD,，進我家門用INPUT,，出我家門用OUTPUT。（當(dāng)我們的操作是征對服務(wù)器本身而言的話,，如SSH操作，此時肯定會用到PREROUTING、INPUT和OUTPUT,，當(dāng)數(shù)據(jù)只是通過服務(wù)器去訪問別的機器時會用到PREROUTING和FORWARD,。）

又假設(shè)，默認(rèn)這六個門都是關(guān)的,。生成如下代碼,。

###########################################################################

*nat

################################

:PREROUTING    DROP  [0:0]

:OUTPUT         DROP  [0:0]

:POSTROUTING   DROP  [0:0]

################################

-F

-Z

-X

### 以后要新增語句請在此處增加。

-L –v

COMMIT

################################################

*filter

##############################

:INPUT          DROP  [0:0]

:FORWARD      DROP  [0:0]

:OUTPUT        DROP  [0:0]

##############################

-F

-Z

-X

### 以后要新增語句請在此處增加,。

-L –v

COMMIT

##########################################################################

1,、  局域網(wǎng)用戶通過服務(wù)器共享上網(wǎng)

(即從張三家到李四家)

1)首先進①號門，再從⑥號門走出,。

-A  PREROUTING –p tcp --dport 80 –j ACCEPT #允許TCP 80端口通過服務(wù)器

-A  FORWARD –p tcp --dport 80 –j ACCEPT    #允許TCP80 端口轉(zhuǎn)發(fā)

-A  FORWARD –p tcp --sport 80 –j ACCEPT    #允許接收對方為TCP80端口反回的信息

2)其次,，由于我們上網(wǎng)打的是域名，為此有一個公網(wǎng)DNS服務(wù)器為我們服務(wù),，那當(dāng)然也要允許內(nèi)網(wǎng)機器與DNS服務(wù)器的數(shù)據(jù)轉(zhuǎn)發(fā),。DNS用UDP 53或者 TCP 53端口。兩者用其一個就行,。

-A  PREROUTING –p udp  --dport 53 –j ACCEPT  

-A  FORWARD –p udp  --dport 53 –j ACCEPT     

-A  FORWARD –p udp  --sport 53 –j ACCEPT     

3）再次,，由于局域網(wǎng)的地址在公網(wǎng)上是不被允許的，所以在出公網(wǎng)前應(yīng)該把其地址轉(zhuǎn)為服務(wù)器地址進行偽裝,。

-A  POSTROUTING –s 192.168.5.0/24 –j SNAT –to  218.100.100.111

2,、  允許局域網(wǎng)和公網(wǎng)可以訪問服務(wù)器的SSH

假設(shè)SSH采用默認(rèn)端口TCP 22 。此要求相當(dāng)于要進我的家的TCP 22號門,，為此我們首先要進我家院子,，然后再進我家門，最后走出我家門這樣的過程,。此操作是征對服務(wù)器本身的操作,。

-A  PREROUTING –p tcp --dport 22 –j ACCEPT

-A  INPUT –p tcp --dport 22 –j ACCEPT

-A  OUTPUT –p tcp --sport 22 –j ACCEPT

3、  允許內(nèi)網(wǎng)機器可以登錄MSN和QQ,。

（MSN和QQ默認(rèn)是不允許登錄的）QQ一般來說可以從TCP 80,、8000、443及UDP 8000,、4000登錄,，而MSN可以從TCP 1863、443登錄,。我們登錄MSN和QQ的過程就象上網(wǎng)一樣,，也是去訪問遠程服務(wù)器的指定端口，故而我們只用數(shù)據(jù)轉(zhuǎn)發(fā)即可,。

-A  PREROUTING –p tcp --dport 1863 –j ACCEPT

-A  PREROUTING –p tcp --dport 443 –j ACCEPT

-A  PREROUTING –p tcp --dport 8000 –j ACCEPT

-A  PREROUTING –p udp --dport 8000 –j ACCEPT

-A  PREROUTING –p udp --dport 4000 –j ACCEPT

-A  FORWARD –p tcp --dport 1863 –j ACCEPT

-A  FORWARD –p tcp --sport 1863 –j ACCEPT

-A  FORWARD –p tcp --dport 443 –j ACCEPT

-A  FORWARD –p tcp --sport 443 –j ACCEPT

-A  FORWARD –p tcp --dport 8000 –j ACCEPT

-A  FORWARD –p tcp --sport 8000 –j ACCEPT

-A  FORWARD –p udp --dport 8000 –j ACCEPT

-A  FORWARD –p udp --sport 8000 –j ACCEPT

-A  FORWARD –p udp --dport 4000 –j ACCEPT

-A  FORWARD –p udp --sport 4000 –j ACCEPT

4,、  讓內(nèi)網(wǎng)機器可以收發(fā)郵件,。

接收郵件是訪問遠程服務(wù)器的TCP 110端口，發(fā)送郵件是訪問TCP25端口,。用數(shù)據(jù)轉(zhuǎn)發(fā)即可,。

-A  PREROUTING –p tcp --dport 110 –j ACCEPT

-A  PREROUTING –p tcp --dport 25 –j ACCEPT

-A  FORWARD –p tcp --dport 110 –j ACCEPT

-A  FORWARD –p tcp --sport 110 –j ACCEPT

-A  FORWARD –p tcp --dport 25 –j ACCEPT

-A  FORWARD –p tcp --sport 25 –j ACCEPT

5、  內(nèi)部機器對外發(fā)布WEB,。

要把內(nèi)網(wǎng)機器192.168.5.179的WEB對外發(fā)布的話,，相當(dāng)于是從外網(wǎng)訪問內(nèi)網(wǎng)。與第1步操作的局域網(wǎng)共享上網(wǎng)相同,，只是訪問的方向改變了,。不是從內(nèi)網(wǎng)訪問外網(wǎng)，而是從外網(wǎng)訪問內(nèi)網(wǎng),。

當(dāng)公網(wǎng)訪問服務(wù)器218.100.100.111時,，防火墻把它映射到內(nèi)網(wǎng)的192.168.5.179的TCP80上。當(dāng)內(nèi)網(wǎng)機器訪問服務(wù)器218.100.100.111時,，防火墻把它映射到內(nèi)網(wǎng)的192.168.5.179的TCP80上,。

-A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT --to-destination 192.168.5.179:80

-A PREROUTING –i eth1 –p tcp –d 218.100.100.111 –dport 80 –j DNAT –to-destination 192.168.5.179:80

（以上兩句必須寫在 –A PREROUTING –p tcp --dport 80 –j ACCEPT 前面。）

  TCP 80端口的轉(zhuǎn)發(fā)在第1步就已做過,，此處就不用重復(fù)制作了,。另外在

-A  POSTROUTING –s 192.168.5.0/24 –j SNAT –to  218.100.100.111 之后加上一句:

-A  POSTROUTING –p tcp --dport 80 –j  ACCEPT

為什么要加這句話呢，我的理解是這樣的,，

公網(wǎng)訪問 http://218.100.100.111時：（假設(shè)公網(wǎng)上用戶的IP為199.199.199.199,端口12345為隨機的產(chǎn)生的,。）

數(shù)據(jù)源 ：   ip:199.199.199.199   sport:12345

數(shù)據(jù)目標(biāo)：  ip:218.100.100.111   dport 80

此時，通過-A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT --to-destination 192.168.5.179:80 告訴199.199.199.199,您要訪問的真正地址應(yīng)該是192.168.5.179:80,然后我們通過-A  POSTROUTING –p tcp --dport 80 –j  ACCEPT 目標(biāo)地址218.100.100.111:80偽裝成 192.168.5.179:80 ,。

數(shù)據(jù)源 ：   ip:199.199.199.199   sport:12345

數(shù)據(jù)目標(biāo)：  ip:192.168.5.179     dport 80

當(dāng)192.168.5.179返回數(shù)據(jù)時：

數(shù)據(jù)源 ：   ip:192.168.5.179     sport:80

數(shù)據(jù)目標(biāo)：  ip:199.199.199.199   dport 12345

數(shù)據(jù)經(jīng)過 -A  POSTROUTING –s 192.168.5.0/24 –j SNAT –to  218.100.100.111 后,，

數(shù)據(jù)源 ：   ip:218.100.100.111   sport:80

數(shù)據(jù)目標(biāo)：  ip:199.199.199.199   dport 12345

6、  完整的iptables配置

###########################################################################

*nat

################################

:PREROUTING    DROP  [0:0]

:OUTPUT         DROP  [0:0]

:POSTROUTING   DROP  [0:0]

################################

-F

-Z

-X

-A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT --to-destination 192.168.5.179:80

-A PREROUTING –i eth1 –p tcp –d 218.100.100.111 --dport 80 –j DNAT –to-destination 192.168.5.179:80

-A  PREROUTING –p tcp --dport 80 –j ACCEPT

-A  PREROUTING –p udp  --dport 53 –j ACCEPT  

-A  PREROUTING –p tcp --dport 22 –j ACCEPT

-A  PREROUTING –p tcp --dport 1863 –j ACCEPT

-A  PREROUTING –p tcp --dport 443 –j ACCEPT

-A  PREROUTING –p tcp --dport 8000 –j ACCEPT

-A  PREROUTING –p udp --dport 8000 –j ACCEPT

-A  PREROUTING –p udp --dport 4000 –j ACCEPT

-A  PREROUTING –p tcp --dport 110 –j ACCEPT

-A  PREROUTING –p tcp --dport 25 –j ACCEPT

-A  POSTROUTING –s 192.168.5.0/24 –j SNAT –to  218.100.100.111

-A  POSTROUTING –p tcp --dport 80 –j  ACCEPT

-L –v

COMMIT

################################################

*filter

##############################

:INPUT          DROP  [0:0]

:FORWARD      DROP  [0:0]

:OUTPUT        DROP  [0:0]

##############################

-F

-Z

-X

-A  INPUT –p tcp --dport 22 –j ACCEPT

-A  OUTPUT –p tcp --sport 22 –j ACCEPT

-A  FORWARD –p tcp --dport 80 –j ACCEPT    

-A  FORWARD –p tcp --sport 80 –j ACCEPT    

-A  FORWARD –p udp --dport 53 –j ACCEPT     

-A  FORWARD –p udp  --sport 53 –j ACCEPT  

-A  FORWARD –p tcp --dport 1863 –j ACCEPT

-A  FORWARD –p tcp --sport 1863 –j ACCEPT

-A  FORWARD –p tcp --dport 443 –j ACCEPT

-A  FORWARD –p tcp --sport 443 –j ACCEPT

-A  FORWARD –p tcp --dport 8000 –j ACCEPT

-A  FORWARD –p tcp --sport 8000 –j ACCEPT

-A  FORWARD –p udp --dport 8000 –j ACCEPT

-A  FORWARD –p udp --sport 8000 –j ACCEPT

-A  FORWARD –p udp --dport 4000 –j ACCEPT

-A  FORWARD –p udp --sport 4000 –j ACCEPT

-A  FORWARD –p tcp --dport 110 –j ACCEPT

-A  FORWARD –p tcp --sport 110 –j ACCEPT

-A  FORWARD –p tcp --dport 25 –j ACCEPT

-A  FORWARD –p tcp --sport 25 –j ACCEPT

-L –v  

COMMIT

##########################################################################

7,、  其它注意事項

1)在使用iptables防火墻之前,，必須先打開IP轉(zhuǎn)發(fā)功能。

# echo “1” > /proc/sys/net/ipv4/ip_forward

2)以上內(nèi)容（第6步生成的內(nèi)容）保存到 /etc/sysconfig/iptables文件中,。

3）每修改一次iptables文件后,，都要重啟iptalbes

    # service iptables restart