NetFilter/iptables防火墙设置（上）

核心提示： iptables -A INPUT -i $IF_PUB -p tcp -d $IP_PUB --dport 2202 -jACCEPT这句允许把防火墙的公网IP地址作为目的地的那些传输到达公网接口，并且允许它与目的端口2202建立tcp连接，NetFilter/iptables防火墙设置

iptables -A INPUT -i $IF_PUB -p tcp -d $IP_PUB --dport 2202 -j
ACCEPT

这句允许把防火墙的公网IP地址作为目的地的那些传输到达公网接口，并且允许它与目的端口2202建立tcp连接。注意SSH服务器得单独配置以便监听2202端口。

要更保险点的话，我们可以限制连接频率：

iptables -A INPUT -i $IF_PUB -p tcp -d $IP_PUB --dport 2202 -m limit -
-limit 1/minute --limit-burst 1 -j ACCEPT

这句话限制SSH连接频率为平均一分钟一次并且一个（脉冲）中一次。当你想要提高平均频率而不介意时不时的短脉冲的时候，脉冲限制的好处就比较明显了。例如，它可以更容易地处理在会话开始或者前期发生的连接失败。在这种情况中，我将限制SSH连接为平均一分钟一次并且一个脉冲内不允许超过一次。

内网中的服务

我的mail服务器和web服务器都在内网上。我只想把服务器上的部分服务对公网公开。我只有一个公网IP地址（内网没有公网路由的地址）并且我不希望把这些服务放到防火墙上去。针对这个问题的传统方案是“端口转发”。NAT路由器监听它的公网接口上的相关端口并且将任何进来的连接或者传输转发到内网的目的地上，将入站包上的IP目的地址转换成内网目标，而将出站包上的IP源地址转换成防火墙的公网地址。Iptables把这项功能成为目的地NAT（DNAT）。我们这样公开mail服务器：

iptables -t nat -A PREROUTING -i $IF_PUB -d $IP_PUB -p tcp --dport
smtp -j DNAT --to 192.168.1.254
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -i $IF_PUB -p tcp --dport
smtp -j ACCEPT

以及web服务器：