实例:
iptables -A FORWARD -s 192.168.0.3 -j DROP
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66
-j DROP
iptables -A FORWARD -d bbs.chinaunix.net -j DROP
4.4 内网如何做对外服务器
服务协议(TCP/UDP)
对外服务端口
内部服务器私网 IP
内部真正服务端口
实例:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80
-j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81
-j DNAT --to 192.168.1.2:80
4.5 连接追踪模块
为什么要使用连接追踪模块
FTP 协议的传输原理
传统防火墙的做法
如何使用
4.5.1 FTP 协议传输原理
使用端口
command port
data port
传输模式
主动模式(ACTIVE)
被动模式(PASSIVE)
4.5.1 FTP 协议传输原理
主动模式
client server
xxxx |---|----------|-->| 21
yyyy |<--|----------|---| 20
FW1 FW2
被动模式
client server
xxxx |---|----------|--->| 21
yyyy |---|----------|--->| zzzz
FW1 FW2
4.5.2 传统防火墙的做法
只使用主动模式,打开 TCP/20
防火墙打开高范围端口
配置 FTP 服务,减小被动模式端口范围
4.5.3 如何使用连接追踪模块
modprobe ipt_conntrack_ftp
modprobe ipt_nat_ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state
RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
5. 网管策略
怕什么
能做什么
让什么 vs 不让什么
三大“纪律”五项“注意”
其他注意事项
5.1 必加项
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" >
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
5.2 可选方案
堵:
iptables -A FORWARD -p tcp --dport xxx -j DROP
iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP
通:
iptables -A FORWARD -p tcp --dport xxx -j ACCEPT
iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED
