第四章：iptables实例

一、iptables实例

1、禁止客户机访问不健康网站

【例1】添加iptables规则禁止用户访问域名为www.sexy.com的网站
iptables -I FORWARD -d www.sexy.com -j DROP

【例2】添加iptables规则禁止用户访问IP地址为20.20.20.20的网站
iptables -I FORWARD -d 20.20.20.20 -j DROP

注意以下几点
（1）上面这两条iptables命令都省略了< -t table>，所以它们默认使用的是：-t filter
（2）上面这两条iptables命令中的chain，使用的是FORWARD链，为什么呢？因为本机不提供www.sexy.com的服务，所以不使用INPUT链，而使用FORWARD链

2、禁止某些客户机上网

【例1】添加iptables规则禁止IP地址为192.168.1.X的客户机上网
iptables -I FORWARD -s 192.168.1.X -j DROP

【例2】添加iptables规则禁止192.168.1.0子网里所有的客户机上网
iptables -I FORWARD -s 192.168.1.0/24 -j DROP

3、禁止客户机访问某些服务

【例1】禁止192.168.1.0子网里所有的客户机使用FTP协议下载
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 21 -j DROP

【例2】禁止192.168.1.0子网里所有的客户机使用Telnet协议连接远程计算机
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 23 -j DROP

注意：-p与--dport或者--sport必须一起使用

4、强制访问指定的站点

【例】强制所有的客户机访问192.168.1.x这台Web服务器
iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.x:80

5、禁止使用ICMP协议
【例】禁止Internet上的计算机通过ICMP协议ping到NAT服务器的ppp0接口，但允许内网的客户机通过ICMP协议ping的计算机
iptables -I INPUT -i ppp0 -p icmp -j DROP

6、发布内部网络服务器

【例1】发布内网10.0.0.3主机的Web服务，Internet用户通过访问防火墙的IP地址即可访问该主机的Web服务
iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.0.3:80

【例2】发布内网10.0.0.3主机的终端服务（使用的是TCP协议的3389端口），Internet用户通过访问防火墙的IP地址访问该机的终端服务
iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.3:3389