3.iptables状态匹配
问题
本案例要求利用状态跟踪机制,编写iptables规则实现以下需求:
允许从内网访问外网的服务
禁止从外网访问内网
对于“内网–>外网”的Web访问,取消状态跟踪
方案
沿用练习二的网络环境、路由配置,如图-3所示。本例中的防火墙规则设置在网关gw1上来完成。
步骤
实现此案例需要按照如下步骤进行。
步骤一:清理现有的防火墙规则,排除干扰
清空filter表:
[root@gw1 ~]# iptables -F
确认结果:
[root@gw1 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
步骤二:控制内外网访问
1)整理任务需求,编写基本转发规则
允许从内网访问外网(来自192.168.4.0/24网段,从接口eth1出去):
[root@gw1 ~]# iptables -A FORWARD -s 192.168.4.0/24 -o eth1 -j ACCEPT
禁止从外网访问内网(