iptables 防火墙在网络中的应用及设置ftp服务的外网访问

由前面所说已经建立了内外网已经建立了链接。

而防火墙在网络中的应用设置在网关的FORWARD链上 

默认FORWARD是ACCEPT.

这里我们将其改为DROP

iptables -P FORWARD DROP

然后添加规则。

这里我们限制只有外网可以访问内网的web服务。而内网不允许访问外网

这里一旦转发设置为DROP那么所有服务都不能访问,必须设置规则。

 iptables -A FORWARD -d 192.168.20.2 -p tcp --dport 80 -j ACCEPT

 iptables -A FORWARD -s 192.168.20.2 -p tcp --sport 80 -j ACCEPT


这样网关就可以转发外网对内网的请求报文,内网的响应报文。

注意:你这里是连接不通除了192.168.0.12外的主机的。例如 

ping www.baidu.com 是ping不通的,因为你这里不可能设置百度的服务器的路由,说转到你192.168.0.110 .必须使用nat转换才行,后面会叙述这些!


下面讲述如何进行 ftp外网访问。


ftp若想被访问,

第一步网关必须要有安装nf_conntrack_ftp这个模块

modprobe nf_conntrack_ftp  


你也可以在centos 6版本

/etc/rc.d/init.d/iptables 中 IPTABLES_MODULES="nf_conntrack_ftp"//加入这些

或centos 7版本中

/etc/sysconfig/iptables-config 中同样设置


第二步 允许命令连接 NEW,ESTABLISHED,允许数据连接RELATED,ESTABLISHED

iptables -I FORWARD -m state --state RELATED ESTABLISHED -j ACCEPT //允许已经建立命令连接的所有直接通过。且这里允许任何主机直接只要建立了链接,既可以互通。

iptables -I FORWARD -d 192.168.20.2 -p tcp --dport 21 -m state --state NEW -j ACCEPT


.如此就可以。当然这里只准外网访问内网192.168.20.2  且192.168.20.2必须安装vsftpd .并启动了服务。ftp默认的访问路径为/var/ftp/pub/ .放在这个目录下都可以访问。


之后外网主机就可以用lftp 192.168.20.2访问了。




本文转自 神迹难觅 51CTO博客,原文链接:http://blog.51cto.com/ji123/1958757,如需转载请自行联系原作者

上一篇:jquery插件treetable使用


下一篇:详解H3C交换机“端口安全”功能