- IPTABLES
- 添加必要的网络地址转换规则,使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
- INPUT、OUTPUT和FOREARD链默认拒绝(DROP)所有流量通行。
- 配置源地址转换允许内部客户端能够访问互联网区域。
服务端口有:
dns: 53 tcp/udp
web: 80 443 tcp
mail: 465 993 tcp
ftp: 20 21 tcp
1、源地址SNAT转换
[root@routersrv /]#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ens33 -j MASQUERADE
[root@routersrv /]#iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
2、目的地址DNAT转换
[root@routersrv /]#iptables -t nat -A PREROUTING -d 81.6.63.254 -p udp --dport 53 -j DNAT --to 192.168.100.100
[root@routersrv /]#iptables -t nat -A PREROUTING -d 81.6.63.254 -p tcp -m multiport --dport 53,80,443,465,993 -j DNAT --to 192.168.100.100
[root@routersrv /]#iptables -t nat -A PREROUTING -d 81.6.63.254 -p tcp -m multiport --dport 20,21,127,138,139,444,445,4500:5000 -j DNAT --to 192.168.100.200
3、默认拒绝所有流量
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -p tcp -m multiport --dport 1194,2021 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 67,68 -j ACCEPT
iptables -A FORWARD -p udp -m multiport --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dport 20,53,80,443,465,993 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 53,80,443,465,993,20 -j ACCEPT
#如果没有通过就放行forward规则