一、实现网络互通
二、实验需求。
   在网站服务器编写入站规则
   1、允许接收响应本机ping测试请求的各种icmp包。
   2、允许访问本机位于80端口的web服务,禁止访问其他端口的tcp请求。
   3、允许发往本机以建立连接或已有连接相关的各种tcp数据包。
   4、禁止其他任何形式的入站访问数据。
   为网关服务器编写转发规则
    1、允许局域网中的主机访问internet中的Web 、FTP、DNS、邮件服务
    2、禁止局域网中的主机访问Web.qq.com、w.qq.com、im.qq.com等网站,以防止通过webQQ的方式进行在线聊天。
   DNS解析:Web.qq.com、w.qq.com、im.qq.com 对应的IP地址为:
        112.90.141.88、 112.90.141.164、 112.90.141.163
        58.251.149.159、58.251.60.202、123.138.238.110

三、实验步骤:
vim ip.txt
 112.90.141.88
 112.90.141.164
 112.90.141.163
 58.251.149.159
 58.251.60.202
 123.138.238.110

    vim iptables.sh
     #!/bin/bash
     IPT="/sbin/iptables"
     $IPT -t filter -X
     $IPT -t filter -F
     $IPT -t filter -Z
     $IPT -t nat -X
     $IPT -t nat -F
     $IPT -t nat -Z
     $IPT -t mangle -F
     $IPT -t mangle -X
     $IPT -t mangle -Z
     $IPT -t raw -F
     $IPT -t raw -X
     $IPT -t raw -Z
     $IPT -P INPUT DROP
     $IPT -A INPUT -p icmp --icmp-type 8 -j ACCEPT
     $IPT -A INPUT -p tcp --dport 80 -j ACCEPT
     $IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
     $IPT -P FORWARD DROP
     $IPT -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dport 20,21,25,53.80,110.143 -j ACCEPT
     $IPT -A FORWARD -p udp --sport 53 -i eth0  -j ACCEPT
     for i in `cat ip.txt`
     do
     $IPT -I FORWARD -d $i -p tcp -m multiport --dport 80,443 -j DROP
     done
     service $IPT  save

   
    
给执行权限:chmod +x iptabels.sh
设置开机自动运行:vi /etc/rc.local
                        /bin/sh   /root/iptables.sh