Linux防火墙下的简单路由配置与端口映射
实验室的windows03服务器总是被端口扫描又装不了其他的杀毒软件 6年前证明瑞星靠不住 6年后还是靠不住。在实验室找了台没用的机子做一个简单的防火墙。具体步骤如下 一台能跑得动你将要安装的L In ux的机器L in u x系统安装盘发行版随意 内核2.6该机器需要有两块网卡
系统安装完成后分别给两块网卡设置IP地址一个为内网 IP 一个为外网 IP。这里假设eht0为外网地址
201.114.0.156,eth1为内网地址 192.168.0.1 。
首先检查IP转发是否开启
[root@RHEL~]#cat/proc/sys/net/ipv4/ip_fo rward
0
如果输出为0那么可以通过将ip_forwa rd至1来临时的实现IP转发命令如下
1
[root@RHEL~]#echo 1>>/proc/sys/net/ipv4/ip_forward
[root@RHEL~]#cat/proc/sys/net/ipv4/ip_fo rward
1
也可以通过修改系统配置文件来永久启用IP转发。打开/etc/sysctl.conf 将”net.ipv4.ip_fo rwa rd“的值由“0”修改成“1”
#Controls IP packet forwarding
#net.ipv4.ip_fo rwa rd=0net.ipv4.ip_fo rward=1
保存后退出重启网络服务
[root@RHEL~]#/etc/init.d/netwo rk restart
接下来通过iptables命令来设置防火墙的转发规则。这里给出一个示例
#清空现有规则iptables-F
#对于外网WAN到内网LAN的封包至允许那些回应包iptables -A FORWARD-i eth0 -o eht1 -m state --stateESTABLISHED,RELATED-j ACCEPT
#对于所有内网LAN到外网WAN的封包都予以放行iptables-A FORWARD-i eht0-o eth1 -j ACCEPT
2
#启用转发日志iptables-A FORWARD-j LOG
#启用IP伪装使得内网中所有转发出去的封包都是Linux服务器一台机子发出的iptables -t nat -A POSTROUTING -o eth1 -jMASQUERADE
#启用地址转换NAT将内网的We b服务映射到外网的特定端口上iptables -A PREROUTING-t nat -p tcp --dport 8080 -jDNAT--to-destination 192.168.0.2:8080
如果想要每次系统启动后自动启用相关的规则可以直接将命令添加到“/etc/rc.lo c al”中。重启ipta ble s 然后运行“rc.local”脚本。
[root@RHEL~]#/etc/init.d/iptables restart
[root@RHEL~]#sh/etc/rc.localiptables还包含了更丰富的转发过滤规则这里只是涉及到很简单隔离内外网的功能。更强大的功能可以参考iptables的命令手册。
内网的机器可以使用内部地址然后将网关设为L in u x服务器的内网地址 DNS设定为外网的DNS。如果条件允许可以在Linux服务器上面部署一个DNS缓冲服务这样内网机器可以直接将Linux服务器设置为DNS。
3
这里需要注意的是 L in ux服务器上链接内网的网卡只需要设置IP地址和子网掩码不要设定默认网关。只需要将链接外网的网卡设置好网关避免内网的包转发到无法到达的网关地址而没有跳转到外网接口。
4
Hostio是一家成立于2006年的国外主机商,提供基于KVM架构的VPS主机,AMD EPYC CPU,NVMe硬盘,1-10Gbps带宽,最低月付5欧元起。商家采用自己的网络AS208258,宿主机采用2 x AMD Epyc 7452 32C/64T 2.3Ghz CPU,16*32GB内存,4个Samsung PM983 NVMe SSD,提供IPv4+IPv6。下面列出几款主机配置信息。...
ftech怎么样?ftech是一家越南本土的主机商,成立于2011年,比较低调,国内知道的人比较少。FTECH.VN以极低的成本提供高质量服务的领先提供商之一。主营虚拟主机、VPS、独立服务器、域名等传统的IDC业务,数据中心分布在河内和胡志明市。其中,VPS提供1G的共享带宽,且不限流量,还可以安装Windows server2003/2008的系统。Ftech支持信用卡、Paypal等付款,但...
今天父亲节我们有没有陪伴家人一起吃个饭,还是打个电话问候一下。前一段时间同学将网站账户给我说可以有空更新点信息确保他在没有时间的时候还能保持网站有一定的更新内容。不过,他这个网站之前采用的主题也不知道来源哪里,总之各种不合适,文件中很多都是他多年来手工修改的主题拼接的,并非完全适应WordPress已有的函数,有些函数还不兼容最新的PHP版本,于是每次出现问题都要去排查。于是和他商量后,就抽时间把...