用Linux+Iptables构建防火墙实例

核心提示： ifconfig eth0 add 218.4.62.18 netmask 255.255.255.248 modprobe ip_conntrack_ftp modprobe ip_nat_ftp echo “1” > /proc/sys/net/ipv4/

ifconfig eth0 add 218.4.62.18 netmask 255.255.255.248

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

echo “1” > /proc/sys/net/ipv4/ip_forward

（第一行是在eth0上再加一个IP：218.4.62.18，因在安装时只能设一个IP：218.4.62.14。Ip_conntrack_ftp 和ip_nat_ftp为iptables运得必须的两个模块；最后一行为使开启服务器IP转发功能。）

(如果你将iptables的模块加到了内核中，以上第二，三行可省略。)

配置DHCP Server，以便让公司PC自动获得IP和网关，网关为192.168.2.9。具体的方法请参见相关资料，本文不作详述。

reboot

重新启动服务器后，Iptables 就已经开始运行了。

配置IPTABLES

对iptables 有了一个基本的了解后，我们就可以来配置我们的服务器了。首先要发布我们的WEB Server,将以下二行加入/etc/sysconfig/iptables中的nat table内：

-A PREROUTING -d 218.4.62.18 -j DNAT --to-destination 192.168.20.254

-A POSTROUTING -s 192.168.2.254 -j SNAT --to-source 218.4.62.18

第一行为将至服务器的所有目地地址为218.4.62.18的包都NAT为192.168.2.254，第二行为将至服务器的所有源地址为192.168.2.254的包为NAT到218.4.62.18。请把WEB Server 的网关设为192.168.20.9。

下面我们将所有从服务器共享出去的包都SNAT为218.4.62.14,就可完成共享上网的功能了：

-A POSTROUTING -s 192.168.0.0/16 -j SNAT --to-source 218.4.62.14

将下面的规则加入到/etc/sysconfig/iptables中的filter tables内：

-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT