快捷導(dǎo)航

linux防火墻配置教程之允許轉(zhuǎn)發(fā)實(shí)驗(yàn)（2）

更新時(shí)間：2017年04月24日 10:44:59 作者：遠(yuǎn)是遠(yuǎn)洋的洋

這篇文章主要為大家詳細(xì)介紹了linux防火墻配置教程之允許轉(zhuǎn)發(fā)的相關(guān)資料，具有一定的參考價(jià)值，感興趣的小伙伴們可以參考一下

一、實(shí)驗(yàn)?zāi)繕?biāo)

　　在上一次“Linux基礎(chǔ)網(wǎng)絡(luò)搭建實(shí)驗(yàn)”中，內(nèi)、外網(wǎng)虛擬機(jī)之所以能Ping通，是因?yàn)闀簳r(shí)關(guān)閉了防火墻，然而現(xiàn)實(shí)中這樣操作顯然存在很大的安全隱患，所以本次實(shí)驗(yàn)在上次實(shí)驗(yàn)的基礎(chǔ)下，開啟防火墻，并配置防火墻規(guī)則，使得內(nèi)、外網(wǎng)虛擬機(jī)任然能夠Ping通。

　　（Linux基礎(chǔ)網(wǎng)絡(luò)搭建實(shí)驗(yàn)：Linux網(wǎng)絡(luò)搭建基礎(chǔ)實(shí)驗(yàn)（1））

網(wǎng)絡(luò)拓?fù)鋱D：

二、實(shí)驗(yàn)步驟

1、搭建如圖所示的網(wǎng)絡(luò)（參考“Linux基礎(chǔ)網(wǎng)絡(luò)搭建實(shí)驗(yàn)”）

2、在網(wǎng)關(guān)上開啟防火墻，此時(shí)內(nèi)網(wǎng)虛擬機(jī)不能Ping通外網(wǎng)虛擬機(jī)

[root@lyy 桌面]# service iptables start

3、清除防火墻（Filter）所有規(guī)則

一般來(lái)說(shuō)，在重新制定防火墻規(guī)則的時(shí)候，應(yīng)先將原先規(guī)則清楚，然后再一條一條來(lái)設(shè)置

[root@lyy 桌面]# iptables -F　　//刪除所有已定的規(guī)則
[root@lyy 桌面]# iptables -X　　//殺掉多有使用者”自定義“的chain（或者說(shuō)tables）
[root@lyy 桌面]# iptables -Z　　//將所有的chain的計(jì)數(shù)與流量統(tǒng)計(jì)都?xì)w零

4、定義默認(rèn)規(guī)則

[root@lyy 桌面]# iptables -P INPUT DROP　　//-P：定義策略（Policy）
[root@lyy 桌面]# iptables -P OUTPUT DROP
[root@lyy 桌面]# iptables -P FORWARD DROP
[root@lyy 桌面]# iptables -A FORWARD -i eth0 -p icmp -j ACCEPT
[root@lyy 桌面]# iptables -A FORWARD -i eth1 -p icmp -j ACCEPT
[root@lyy 桌面]# iptables-save　　//列出完整的防火墻規(guī)則

規(guī)則解釋：

iptables -A FORWARD -i eth0 -p icmp -j ACCEPT

新增一條轉(zhuǎn)發(fā)規(guī)則，允許從eth0進(jìn)來(lái)的Ping包通過(guò)
-A：add，表示新增一條規(guī)則，位置在原本規(guī)則的最后面
-i：input，從哪個(gè)接口進(jìn)，需要與INPUT鏈配合
-p：設(shè)定此規(guī)則適用于哪種數(shù)據(jù)包格式（如：tcp、udp、icmp和all）
icmp：Ping包
-j：后面接動(dòng)作，主要的動(dòng)作有：接受（ACCEPT）、丟棄（DROP）、拒絕（REJECT）及記錄（LOG）