[问题求助][求助]怎样配置Linux NAT网关来限制内网？ [复制链接]

怎样配置Li.nux NAT网关来限制内网？    美容

我们有一台linux的主.机做NAT网关，有两块网卡，系统是redh.at9 内核版本2.4.20    美容

内网网卡et.h0：192.168.0.1    健康

外网网卡eth1.：202.197.66.190           鲜花

下面是我自己配的NAT：
echo 1 > ./proc/sys/n.et/ipv4/ip_forward           鲜花
iptables -F
iptables -F. -t nat    美容

i.ptables. -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j SNAT --to 202..197.66.190虚拟主机

ipt.ables -P INPUT ACCEPT(广告)
iptables. -P OUTPUT ACCEPT教育
iptables .-P. FORWARD ACCEPT           鲜花

问.题是：我要限.制内网的用户，使内网的用户只能使用www和ftp的服务?外贸

我也试.过几种方法，但是不行，请高手指点详细点。(广告)

我的主要目的是为了放在内网的机器中了病毒.，攻击校园网的其它.机器，如DNS主机，导致我们的ip被网络中心的人封掉。--- 印刷
我还尝试过将FORWARD链默认打开，封到qq，thunder迅雷等等.，还是能够做到。但是.这样做并没有达到我的目的。              乙肝
我的试过的方法是将FORWARD链默认关闭，只打.开w.ww和ftp，但是试了很多次，没成功。.
想问问还有其它什么好方法没有，1楼说的教程.，我都看过了，够没有介绍怎么限制内网的，希望哪位大虾指.点啊。<性病>

++++++.++++终于解决了，谢谢回帖的网友，特别谢谢cexoyq 1914两位+++++++++.++           女人
全部配置文件如下：
ec.ho 1 > /proc/sys/net/ipv4./ip_forward--------------彩票

modprobe ip_nat_f.tp(广告)

iptables -F
iptables. -F -t nat服务器
iptables -t nat -A POSTROUTING -o et.h1 -s 192.168.0.0/24 -j SNAT .--to 202.197..66.190<性病>

iptables -P INPUT A.CCEPT.
iptables -P OUTPUT ACCEPT..
iptable.s -P FORWARD .ACCEPT.

iptables -A FORWAR.D -m state -.-state RELATED,ESTABLISHED -j ACCEPT          婚庆
i.ptables -A FORWARD -p tcp --dpo.rt 80 -j ACCEPT.
iptables -A FORWARD -p t.cp. --dport 21 -j ACCEPT(广告)
iptables -A FORWA.RD -p udp --d.port 53 -j ACCEPT

iptables -P F.ORWARD DROP--------------彩票

————————————————.———————————————————————————.———             电子
自认为网络学的不错，结果碰.到实际问题了，还是不会.灵活应用啊，经验太少~~~~.

[ 本帖.最后由 tianhui21 于 2007-9-16 20:24 编辑 .]              乙肝

置顶的教程有范例

外网网卡eth1：202.197.65.34

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j SNAT --to 202.197.66.190

不太懂你这话意思.
你这样设置只能满足NAT转发上网,没有任何限制.

QUOTE:原帖由 marsaber 于 2007-9-8 11:09 发表
外网网卡eth1：202.197.65.34

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j SNAT --to 202.197.66.190

不太懂你这话意思.
你这样设置只能满足NAT转发上网,没有任何限制.

LZ 的意思是已经这样做过了，现在要加限制策略，问怎么做

FORWARD链上进行限制。比如教育网的可以封住非免费的地址，以及QQ和迅雷服务器地址。

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j SNAT --to 202.197.66.190

modprobe ip_nat_ftp
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

[ 本帖最后由 cexoyq 于 2007-9-10 14:11 编辑 ]

谢谢楼上。我是楼主。
我开始也是这么做的，理论上是行的通的，我感觉也是没问题的。
但是实际情况是不行的，这样配置后，网络是断的，不能 看网页和上ftp，不知道是为什么？
很迷惑~~~~~~~~~~~~~

不会和系统有关吧，我的主机用的是Redhat9，内核2.4.20，应该没问题，请高人指点。

QUOTE:原帖由 tianhui21 于 2007-9-10 15:30 发表
我开始也是这么做的，理论上是行的通的，我感觉也是没问题的。
但是实际情况是不行的，这样配置后，网络是断的，不能 看网页和上ftp，不知道是为什么？
很迷惑~~~~~~~~~~~~~

因为你做的有问题
至于哪里的问题，在你贴出你是如何做的前提下只有你自己知道

外网网卡eth1：202.197.65.34

下面是我自己配的NAT：
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -F -t nat

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j SNAT --to 202.197.66.190


外网卡ip是202.197.65.34
而SNAT的IP是：202.197.66.190
我也纳闷他怎么能通。

不好意思。没看清楚IP。我只看了配置。汗！
楼主最好是贴下你的配置，让大家看一看。