用Linux+Iptables构建防火墙实例

核心提示： 如上就可通过网卡来控制上网了，但现在电脑高手多多，用Linux+Iptables构建防火墙实例(6)，改一个MAC的地址好像也不是什么难事了，怎么办呢？那就用我们的第三种方法吧，客户端的网关一定要是iptagles的IP， 如本文有什么地方有错误， MAC+IP限制： 更改/etc/dhc

如上就可通过网卡来控制上网了，但现在电脑高手多多，改一个MAC的地址好像也不是什么难事了，怎么办呢？那就用我们的第三种方法吧。

MAC+IP限制：

更改/etc/dhcpd.conf,如果MAC与IP绑定：

subnet 192.168.2.0

netmask 255.255.255.0{

range 192.168.2.30 192.168.2.230;

option broadcast-address 192.168.2.255;

option routers 192.168.2.9;

option domain-name-servers 212.132.16.163;

host meeting-room {

hardware ethernet 00:50:ba:c8:4b:3a;

fixed-address 192.168.2.35;

}}

我们的Iptables改为：0

-A FORWARD –s 192.168.2.35 –m mac -–mac XX:XX:XX:XX:XX:XX –p udp –m multiport –port 53 –j ACCEPT

-A FORWARD –s 192.168.2.35 –m mac -–mac XX:XX:XX:XX:XX:XX –p tcp –m multiport –port 3128,110,25 –j ACCEPT

这样做之后，高手也无能为力了，不过公司有位MM是兄台的GF，上班的时候想和她聊聊天，培养培养感情；怎么办呢？我们知道QQ用的是udp的4000端口，如占用则4002,4003。。。那么就如下了：

-A FORWARD –s 192.168.2.35 –m mac -–mac XX:XX:XX:XX:XX:XX –p udp –m multiport –port 53,4000,4001,4002,4003,4004,4005 –j ACCEPT

-A FORWARD –s 192.168.2.35 –m mac -–mac XX:XX:XX:XX:XX:XX –p tcp –m multiport –port 3128,110,25 –j ACCEPT

最后加一句：

-A FORWARD –s 192.168.0.0/16 –j DROP

由于前面应该开的都开了，所以最后全部禁止。呵呵，到此大功告成。

总结

世界上没有绝对安全的防火墙，安全永远是相对的。配置iptables的思路是先ACCEPT再DROP。共享上网的办法还有一个就是用iptables server的Owner,但由于linux没有像win2k那样的验证模式，在验证owner时有些困难。本人正在测试，但目前还没有比较好的解决办法，哪位兄弟搞定的话请Mail小弟，小弟将不胜感激。值得注意的是在做NAT时，客户端的网关一定要是iptagles的IP。

如本文有什么地方有错误，还请各位朋友告知。