网关防火墙基础配置

Posted 2020-12-26

网关服务器上的防火墙简略配置：

1. vim /etc/sysctl.conf 修改内核参数 net.ipv4.ip_forward=1【开启路由转发】
   sysctl -p 【使配置生效】
2. iptables -t nat -A POSTROUTING -s 【内网网段/24】-o eth0 【外网网卡】-j
   SNAT--to-source 【公网地址】{配置SNAT策略使内网主机共享固定IP上网}
3. iptables -t nat -A POSTROUTING -s 【内网网段/24】-o ppp0 -j MASQUERADE
   【共享动态ip地址上网】
4. iptables -t nat -A PREROUTING -d 【公网地址】-i eth0 【外网网卡】-p
   tcp --dport 80 -j DNAT –to-destination 【内网服务器地址】
   {配置DNAT策略发布企业内部web服务器}

5. 对于linux网关服务器来说，在默认拒绝的情况下，若要实现共享上网，除了正常的SNAT策略以外，还需要放行内网PC与Internet中的DNS、Web、FTP等服务的通信。
   iptables -A FORWARD -s 【内网网段/24】-o【外网网卡】-p udp --dport 53 -j ACCEPT
   iptables -A FORWARD -s 【内网网段/24】-o【外网网卡】-p tcp --dport 80 -j ACCEPT
   iptables -A FORWARD -s 【内网网段/24】-o【外网网卡】-p tcp --dport 20:21 -j ACCEPT
   iptables -A FORWARD -d 【内网网段/24】-i 【外网网卡】-m state –state ESTABLISHED
   ,RELATED -j ACCEPT

6. service iptables save
   iptables-save >/tmp/somefile 【导出防火墙配置】
   iptalbles-restore </tmp/somefile 【导入防火墙配置】
   具体工作中，根据实际情况有针对性的设计，并做好整体测试，避免因规则不当而导致的网络通信故障。