由前面所说已经建立了内外网已经建立了链接。
而防火墙在网络中的应用设置在网关的FORWARD链上
默认FORWARD是ACCEPT.
这里我们将其改为DROP
iptables -P FORWARD DROP
然后添加规则。
这里我们限制只有外网可以访问内网的web服务。而内网不允许访问外网
这里一旦转发设置为DROP那么所有服务都不能访问,必须设置规则。
iptables -A FORWARD -d 192.168.20.2 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.20.2 -p tcp --sport 80 -j ACCEPT
这样网关就可以转发外网对内网的请求报文,内网的响应报文。
注意:你这里是连接不通除了192.168.0.12外的主机的。例如
ping www.baidu.com 是ping不通的,因为你这里不可能设置百度的服务器的路由,说转到你192.168.0.110 .必须使用nat转换才行,后面会叙述这些!
下面讲述如何进行 ftp外网访问。
ftp若想被访问,
第一步网关必须要有安装nf_conntrack_ftp这个模块
modprobe nf_conntrack_ftp
你也可以在centos 6版本
/etc/rc.d/init.d/iptables 中 IPTABLES_MODULES="nf_conntrack_ftp"//加入这些
或centos 7版本中
/etc/sysconfig/iptables-config 中同样设置
第二步 允许命令连接 NEW,ESTABLISHED,允许数据连接RELATED,ESTABLISHED
iptables -I FORWARD -m state --state RELATED ESTABLISHED -j ACCEPT //允许已经建立命令连接的所有直接通过。且这里允许任何主机直接只要建立了链接,既可以互通。
iptables -I FORWARD -d 192.168.20.2 -p tcp --dport 21 -m state --state NEW -j ACCEPT
.如此就可以。当然这里只准外网访问内网192.168.20.2 且192.168.20.2必须安装vsftpd .并启动了服务。ftp默认的访问路径为/var/ftp/pub/ .放在这个目录下都可以访问。
之后外网主机就可以用lftp 192.168.20.2访问了。
本文转自 神迹难觅 51CTO博客,原文链接:http://blog.51cto.com/ji123/1958757,如需转载请自行联系原作者
