iptables和netfilter配合使用，功能加倍，來搭建一個屬于自己的實驗環境平臺。

　　實驗步驟：

　　一>實現路由功能：

　　首先來配置eth0。給這個網絡接口分配地址218.197.93.115，運行下列命令：

　　# ifconfig eth0 218.197.93.115 netmask 255.255.255.0

　　為了使這個地址不再計算機重新啟動后消失，編輯/etc/sysconfig/network-scripts/ifcfg-eth0文件，

　　DEVICE = eth0

　　ONBOOT = yes

　　BROADCAST = 218.197.93.255

　　NETWORK = 218.197.93.0

　　NETMASK = 255.255.255.0

　　IPADDR = 218.197.93.115

　　增加一條靜態路由：

　　# route add -net 218.197.93.0 netmask 255.255.255.0

　　接下來，配置eth1，eth1與192.168.1.0網段相連，分配給它的地址是192.168.1.1，使用ifconfig命令為它配置參數：

　　# ifconfig eth1 192.168.1.1 netmask 255.255.255.0

　　編輯/etc/sysconfig/network-scripts/ifcfg-eth1文件，

　　DEVICE = eth1

　　ONBOOT = yes

　　BROADCAST = 192.168.1.255

　　NETWORK = 192.168.1.0

　　NETMASK = 255.255.255.0

　　IPADDR = 192.168.1.1

　　增加一條靜態路由：

　　# route add -net192.168.1.0 netmask 255.255.255.0

　　***配置eth2，它連接192.168.2.0網段，分配的IP地址是192.168.2.1，執行下列命令：

　　# ifconfig eth2 192.168.2.1 netmask 255.255.255.0

　　- 5 -

　　編輯/etc/sysconfig/network-scripts/ifcfg-eth2文件

　　DEVICE = eth2

　　ONBOOT = yes

　　BROADCAST = 192.168.2.255

　　NETWORK = 192.168.2.0

　　NETMASK = 255.255.255.0

　　IPADDR = 192.168.2.1

　　增加一條靜態路由：

　　# route add -net 192.168.2.0 netmask 255.255.255.0

　　這樣網絡中就有三條靜態路由記錄了：

　　# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface

　　218,197.93.115 *255.255.255.0U 0 0 0 eth0

　　192.168.1.0*255.255.255.0U 0 0 0 eth1

　　192.168.2.0*255.255.255.0U 0 0 0 eth2

　　還要為系統增加一條缺省路由，因為缺省的路由是把所有的數據包都發往它的上一級網關，因此增加如下的缺省路由記錄：

　　# route add default gw 218.197.93.254

　　這樣系統的靜態路由表建立完成，它的內容是

　　# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface

　　218,197.93.115 *255.255.255.0U 0 0 0 eth0

　　192.168.1.0*255.255.255.0U 0 0 0 eth1

　　192.168.2.0*255.255.255.0U 0 0 0 eth2

　　default218.197.93.254 0.0.0.0 UG 0 0 0 eth0

　　二>在C上開啟www,ftp服務：

　　#service httpd start

　　#service vsftpd start

　　三>在防火墻上初始化設置

　　防火墻上初始化

　　#service iptables stop  
 
　　#iptables -F  
 
　　#iptables -t nat -F  
 
　　#iptables -X  
 
　　#iptables -t nat -X  
 
　　#iptables -Z  
 
　　#iptables -t nat -Z  
 
　　#iptables -P INPUT DROP  
 
　　#iptables -P OUTPUT DROP  
 
　　#iptables -P FORWARD DROP  
 
　　#iptables -t nat -P POSTROUTING DROP  
 
　　#service iptables start  
 

　　***一步，要增加系統的IP轉發功能,執行如下命令打開ip轉發功能：

　　echo 1 >/proc/sys/net/ipv4/ip_forward

　　四>在防火墻上實現端口地址映射：

　　允許A機器訪問WAN

　　iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -j ACCEPT

　　A往C的包都允許

　　iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -i eth2 -j ACCEPT

　　WAN往A的包都不允許

　　iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 192.168.2.0/24 -i eth0 -j DROP

　　允許WAN向內部發送已建立連接的包和相關連接的包。

　　iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 218.197.93.115

　　允許WAN發往www，ftp服務器的包并把對網關的www,ftp請求轉發到內部的www,ftp服務器上。

　　#iptables -t nat -A PREROUTING -p tcp --dport 80 -d 218.197.93.115 -s 0.0.0.0/0 -i eth0 -j DNAT --to 192.168.1.2  
 
　　#iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.1.2 -i eth0 --dport 80 -j ACCEPT  
 
　　#iptables -A FORWARD -p tcp -d 0.0.0.0/0 -s 192.168.1.2 -i eth1 --sport 80 ! --syn -j ACCEPT  
 
　　#iptables -t nat -A PREROUTING -p tcp --dport 20,21 -d 218.197.93.115 -s 0.0.0.0/0 -i eth0 -j DNAT --to 192.168.1.2  
 
　　#iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.1.2 -i eth0 --dport 20,21 -j ACCEPT  
 
　　#iptables -A FORWARD -p tcp -d 0.0.0.0/0 -s 192.168.1.2 -i eth1 --sport 20,21 ! --syn -j ACCEPT  
 
　　#iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 192.168.1.0/24 -i eth0 -j DROP  
 

　　C不能訪問A,B

　　iptables -A FORWARD -s 192.168.1.0/24 –d 0.0.0.0/0 -i eth1 -j DROP

通過上面的四大點介紹，想必大家都知道如何搭建屬于自己的netfilter/iptables的平臺。

【編輯推薦】

• 如何使用IPTables實現字符串模式匹配
• iptables相關腳本
• 如何使用 IPTables
• 如何用iptables實現NAT
• iptables配置工具
• iptables與stun
• iptables 添加模塊HOWTO
• netfilter/iptables模塊功能介紹