debian下iptables 初始 配置

首先就要把Linux内核中相应的功能模块打开

# echo 1 > /proc/sys/net/ipv4/ip_forward

把/proc/sys/net/ipv4/ip_forward这个文件的内容从0改成了1告诉内核支持ip转发。/proc系统是个虚拟的文件系统,它实际存在于内存,用于显示系统运行状态。

这样在系统重启后,将会被重置,有人说这样可以保存(在/etc/sysct1.conf 里添加了下面这一行:net.ipv4.ip_forward = 1 重启后生效了)

保存iptables:

#iptables-save > /etc/network/iptables

在/etc/network/interface里的eth0配置下加入下面这一行,使系统启动时自动转入iptables

up /sbin/iptables-restore < /etc/network/iptables

还有这么一段,有待考证
通过 ifup 配置防火墙规则
还可以在网络配置文件 /etc/network/interfaces 中设置防火墙规则. 您需要:
重建网络接口激活时的防火墙规则.
使用 iptables-save 将规则设定保存到 /etc 下, 例如 /etc/iptables.up.rules.
配置 etc/network/interfaces 调用配置的规则设定.
iface eth0 inet static
address x.x.x.x
[.. interface configuration ..]
pre-up iptables-restore < /etc/iptables.up.rules
您还可以选择设定一些规则应用于网络接口 down 的时候, 将其保存在 /etc/iptables.down.rules 文件中, 然后添加到接口配置文件中:
post-down iptables-restore < /etc/iptables.down.rules
有关 ifupdown 更多的高级防火墙配置脚本, 可以针对性的放置到 *.d/ 目录, 通过 run-parts (参阅 run-parts(8)) 调用.


附:

单臂 ppp0 路由 iptables的配置

首先加载模块 ipt_MASQUERADE 和 iptable_nat

修改 /etc/modules 添加 ipt_MASQUERADE 和 iptable_nat (一个一行)

然后修改 iptables文件

*nat
:PREROUTING ACCEPT [217:16072]
:POSTROUTING ACCEPT [8:1300]
:OUTPUT ACCEPT [15:1737]
-A POSTROUTING -o ppp0 -j MASQUERADE 
COMMIT

在*net 下添加 增色的这一行

屏蔽 ppp0 设备的25 和 445端口

*filter
:INPUT ACCEPT [11729:15211118]
:FORWARD ACCEPT [699:233477]
:OUTPUT ACCEPT [7090:542505]
-A INPUT -p tcp -i ppp0  --dport 445 -j DROP 
-A INPUT -p tcp -i ppp0  --dport 25 -j DROP 
#-A INPUT -p tcp -i ppp0  --dport 21 -j DROP 
COMMIT

*filter 下添加 增色的几行