在Linux网络接口安全防护中,iptables作为核心防火墙工具,其多表规则配置能够实现精细化的流量控制。本文将通过具体案例演示如何配置filter、nat和mangle三个表的规则。
基础环境配置 假设我们有两块网卡:eth0(外网接口)和eth1(内网接口),需要在防火墙中实现以下安全策略:
- 允许内网访问外网
- 拒绝外网访问内网
- 实现SNAT转换
filter表配置 首先配置filter表,这是最常用的表,用于控制数据包的转发。
# 允许内网访问外网
iptables -t filter -A FORWARD -i eth1 -o eth0 -j ACCEPT
# 拒绝外网访问内网
iptables -t filter -A FORWARD -i eth0 -o eth1 -j DROP
nat表配置 nat表用于网络地址转换,实现SNAT。
# SNAT规则配置
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# 或者指定具体IP
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to-source 10.0.0.1
mangle表配置 mangle表用于修改数据包的标记和TOS字段,常用于QoS。
# 修改数据包的TOS字段
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TOS --set-tos 0x10
规则保存与加载 配置完成后,使用以下命令保存规则:
# Ubuntu/Debian系统
iptables-save > /etc/iptables/rules.v4
# CentOS/RHEL系统
service iptables save
通过以上配置,我们实现了网络接口的多层次安全防护。建议定期审查规则,确保符合最新的安全要求。
讨论