配置Linux NAT网关限制内网用户只能使用www和ftp服务
whx00 2007-09-18
我们有一台linux的主机做NAT网关,有两块网卡,系统是RedHat9 内核版本2.4.20
内网网卡eth0:192.168.0.1
外网网卡eth1:202.197.66.190
目标:做NAT网关,同时限制内网的用户,使内网的用户只能使用www和ftp的服务?
以前内网的机器中了病毒,攻击校园网的其它机器,如DNS主机,导致我们的ip老是被网络中心封掉。因此,需要限制内网,以免网络病毒“扩散”。我觉得,限制内网和限制外网一样重要,但是貌似大家不是很注重限制内网,这是不责任的态度。
全部配置文件如下:
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_nat_ftp
iptables -F
iptables -F -t nat
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j SNAT --to 202.197.66.190
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -P FORWARD DROP
就这么简单,先前尝试了很多次,都没成功,后来发帖子在CU论坛上问了,才发现是DNS的端口没有打开。自认为网络学的不错,结果碰到实际问题了,还是不会灵活应用啊,经验太少。
意外的发现,这样配置后,qq还是能上,证实了网上qq能通过80端口转发数据的传言。如果硬是要封掉qq,可以将qq的服务器地址封掉就可以了。
接下来的工作:
1 打开迅雷,msn,ppstream,pplive等常用网络软件
2 保护好NAT主机啊,门户大开啊,只提高ssh服务,和ping????