IPTABLES 配置方法介紹

方法以前貼出過，現進一步完善后再奉獻出來，望對新人有所幫助。

在配置IPTABLES以前，你必須保證本機DNS和路由已經配好，本機能夠正常上網。反之請暫不要啟動IPTABLES。

Iptables配置

配置iptables的目的，一個是防止公網的入侵，一個是讓內網的兄弟們上網。在沒配之前，只有本機能上網。

Rh8.0的“系統設置”中有個“安全級別” ，它主要是針對本機來說的，不能用它來配置iptables。打開“安全級別”，把它配成“無防火墻”級別。

為了配置、測試方便，可以先用“KWrite”編個“腳本”，采用“復制”、“粘貼”方式，把全部語句一次性粘貼到“終端”里執行。這樣修改測試都很方便。

打開“其他”—“輔助設施”中的“KWrite”，將下面的樣本輸入或粘貼到里面（其中，eth0、eth1分別是外、內網卡）：

echo "Enable IP Forwarding..."
echo 1 >/proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp ;支持被動FTP
/sbin/modprobe ip_conntrack_ftp ;
/sbin/modprobe ip_conntrack_h323 ;支持NETMEETING
/sbin/modprobe ip_nat_h323 ;

iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

/etc/rc.d/init.d/iptables restart

iptables -L


再另存為一個文件放到桌面上，便于使用。

在這個配置里面，INPUT和轉發FORWARD功能的缺省值都是拒絕（DROP），這意味著在后面的INPUT和FORWARD語句中沒有表明通過（ACCEPT）的都將被拒之門外。這是一個最好的安全模式，經過使用賽門鐵克的在線測試，所有公網端口都是隱藏的。注意，所有內網端口都是打開的，本機對內沒有安全可言。

其它的語句我就不多說了，最后一句是顯示配置執行后的鏈路結果。

每次修改完后，將整篇語句全部復制，再粘貼到“終端”，它將自動配置、啟動、顯示一次。反復修改、測試，直到達到你的要求。

最后將整篇語句全部復制，再粘貼到“/etc/rc.d/rc.local”文件后面，你的配置開機后也可以自動執行了