3、创建一个链来处理来自DMZ(如果使用的话)以及外部网络到达的流量。这个链丢弃来自专用网络和DMZ网源地址的所有封包,这是因为,第一,前者是欺骗地址,第二,根据策略,不允许来自DMZ的流量进入到网络中。该链接受来自已有连接和编址到因特网的包。
[root@linux-tys root]# iptables -N EXT
[root@linux-tys root]# iptables -A EXT -s 192.168.32.0/24 -j DROP
[root@linux-tys root]# iptables -A EXT -s 192.168.1.0/24 -j DROP
[root@linux-tys root]# iptables -A EXT -s 0/0 -p tcp --dport 1024:65535 -j ACCEPT
[root@linux-tys root]# iptables -A EXT -s any/0 -d 192.168.32.254 -j ACCEPT
[root@linux-tys root]# iptables -A INPUT -i eth1 -j EXT --配置INPUT链,使之将流量导向到EXT
[root@linux-tys root]# iptables -A OUTPUT –o eth1 -j EXT
4、修改FORWARD链以创建网关功能。自内网接口来的新的或已有的连接被转发到外部接口上。
[root@linux-tys root]# iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
[root@linux-tys root]# iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
5、建立SNAT规则。对源地址起作用转换为192.168.32.254。此步后即可实现网关防火墙功能了。
[root@linux-tys root]# modprobe iptable_nat
[root@linux-tys root]# iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to 192.168.32.254
6、配置OUTPUT链。使之允许来自防火墙服务的封包传到专用网络及因特网上。
[root@linux-tys root]# iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT
[root@linux-tys root]# iptables -A OUTPUT -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
7、检查防火墙规则并添加一条规则然后保存规则
[root@linux-tys root]# iptables -L –v ---- -v将显示网络接口的附加信息
[root@linux-tys root]# iptables -A PRIV -p tcp -d any/0 --dport 23 -j ACCEPT
[root@linux-tys root]# iptables-save > custom.txt 或作下面命令的保存
[root@linux-tys root]# iptables-save > /etc/sysconfig/iptables ---保存规则到/etc/syscofig/iptables中,并自启动。