1.建iptables

root@ptubuntufirewall:/# vi /etc/init.d/iptables

#fLUSH THE FILTER,NAT,Mangle chain!

/sbin/iptables -F -t filter

/sbin/iptables -F -t nat

/sbin/iptables -F -t mangle

 

#Flush the user's chain

/sbin/iptables -t filter -X

/sbin/iptables -t nat -X

/sbin/iptables -t mangle -X

 

#Set default policies to DROP

/sbin/iptables -P INPUT ACCEPT

/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -P FORWARD ACCEPT

 

#LAN NAT

/sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADE

#/sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/255.255.255.0 -o eth0 -j MASQUERADE

 

if [ -f /etc/access_mac.conf ]    

then

    for i in `cat /etc/access_mac.conf | grep "^[^#]" | tr -s "[\012]" | cut -c1-17` ; do

        /sbin/iptables -A FORWARD -m mac –mac-source $i -i eth0 -j ACCEPT

    done

fi

 

/sbin/iptables -A FORWARD -i eth0 -j DROP

#VNC View Ptubuntu 这下面两条指:访问外网ip可以转换到内网ip:端口

/sbin/iptables -A PREROUTING -t nat -p tcp -m tcp -i eth1 –dport 5888 -j DNAT –to-destination 192.168.0.110:5888

/sbin/iptables -A PREROUTING -t nat -p tcp -m tcp -i eth1 –dport 5988 -j DNAT –to-destination 192.168.0.110:5988

 

root@ptubuntufirewall:/#vi /etc/access_mac.conf 

root@ptubuntufirewall:/# update-rc.d iptables defaults 99
显示如下表示成功.

以下是我测试iptables的一些实例,相信在邮件服务器也用得着,所以分享给大家看看.

实验环境: 192.168.1.0/255.255.255.0
服务器 Debian(etch)4.0 IP:192.168.1.96
客户机1 Windows XP SP2 IP:192.168.1.90
客户机2 Windows XP SP2 IP:192.168.1.234

iptables以顺序方式执行,从上到下!

常用iptables维护命令：
#iptables -L -n  显示当前iptables规则
#iptables-save > /etc/iptables-script 保存规则
#iptables-restore /etc/iptables-script 恢复保存的规则

设置iptables开机自动加载规则,添加以下内容至/etc/rc.local文件中即可
/sbin/iptables-restore /etc/iptables-script
需要注意的是，必须写完全路径，要不然系统找不到命令与规则及脚本

1,缺省策略，让信息毫无限制地流出，但不允许信息流入
#iptables -P INPUT DROP
#iptables -P FORWARD DROP
#iptables -P OUTPUT ACCEPT

2,允许192.168.1.90无限制连接至192.168.1.96服务器(便于维护与测试服务器)
#iptables -A INPUT -s 192.168.1.90 -d 192.168.1.96 -j ACCEPT

3,允许127.0.0.1环路
#iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

4,允许局域网192.168.1.0内的所有机器能访问192.168.1.96服务器的80端口
#iptables -A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.96 –dport 80 -j ACCEPT

5,拒绝192.168.1.92 Ping 192.168.1.96
#iptables -A INPUT -p icmp -s 192.168.1.92 -d 192.168.1.96 -j DROP

6,拒绝所有Ping
#iptables -A INPUT -p icmp -j DROP

7,拒绝192.168.1.96 Ping 192.168.1.8
#iptables -A OUTPUT -p icmp -s 192.168.1.96 -d 192.168.1.8 -j DROP

8,拒绝192.168.1.234连接192.168.1.96的80端口
#iptables -A INPUT -p tcp -s 192.168.1.234 -d 192.168.1.96 –dport 80 -j DROP

9,允许192.168.1.96服务器使用Ping
#iptables -A INPUT -p icmp -d 192.168.1.96 -j ACCEPT

10,允许DNS查询
#iptables -A INPUT -p udp –sport 53 -j ACCEPT
#iptables -A INPUT -p tcp –sport 80 -j ACCEPT (注:上网好像需要开这个端口???)

11,允许来自192.168.1.234的电脑Ping服务器192.168.1.96
#iptables -A INPUT -p icmp -s 192.168.1.234 -j ACCEPT

12,如果要自己能ping人家，而人家不能ping你，可以：
#iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -j DROP
#iptables -A INPUT -p icmp –icmp-type 0 -s 0/0 -j ACCEPT
#iptables -A OUTPUT -p icmp –icmp-type 0 -s 192.168.1.96 -j DROP
#iptables -A OUTPUT -p icmp –icmp-type 8 -s 192.168.1.96 -j DROP
注:icmp的type 0为回显应答(Ping应答),8为请求回显(Ping请求).Tcpip第6章ICMP:Internet控制报文协议

13,无法使用apt-get update解决方法
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

14,使用FTP问题
#modprobe ip_nat_ftp 加载模块
#modprobe ip_conntrack
#modprobe ip_conntrack_ftp
#iptables -A INPUT -p tcp –sport 21 -j ACCEPT
#iptables -A INPUT -P tcp –dport 21 -j ACCEPT
#iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

15,查看某一条规则序号并删除
#iptables -L -n –line-numbers
iptables -D INPUT 8

16,拒绝192.168.1.90连接服务器的80端口(注意,必须放在允许规则前面)
#iptables -I INPUT 1 -p tcp -s 192.168.1.90 -d 192.168.1.96 –dport 80 -j DROP

先给你介绍的是网卡的设置这是一个关键:

ptubuntu.com# ifconfig

eth0 Link encap:Ethernet  HWaddr 00:e0:pt:ub:un:tu

inet addr:192.168.0.1 Bcast:192.168.0.255  Mask:255.255.255.0

eth1 Link encap:Ethernet  HWaddr 00:e0:pt:ub:un:tu

inet addr:58.58.98.8 Bcast:58.58.98.8   Mask:255.255.255.248

eth2 Link encap:Ethernet  HWaddr 00:e0:pt:ub:un:tu

inet addr:192.168.9.1 Bcast:192.168.9.255  Mask:255.255.255.0

注:eht0,eht2 内网IP地址 eth1外网IP地址

下面这个是配置iptables配置文档.

ptubuntu.com#vi /etc/init.d/iptables

#fLUSH THE FILTER,NAT,Mangle chain!

/sbin/iptables -F -t filter

/sbin/iptables -F -t nat

/sbin/iptables -F -t mangle

#Flush the user’s chain

/sbin/iptables -t filter -X

/sbin/iptables -t nat -X

/sbin/iptables -t mangle -X

#Set default policies to DROP

/sbin/iptables -P INPUT ACCEPT

/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -P FORWARD ACCEPT

#LAN NAT  内网转外网.

/sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADE

#/sbin/iptables -A POSTROUTING -t nat -s 192.168.0.0/255.255.255.0 -o eth0 -j MASQUERADE

/sbin/iptables -A POSTROUTING -t nat -s 192.168.9.2 -o eth1 -j MASQUERADE

#Drop Web Server  阻止外网的IP地址.

/sbin/iptables -A FORWARD -i eth0 -p tcp -d 218.5.00.116 -j DROP

#Drop out 80 port (FORWARD -i -i -in-interface [!] [name]

i -进入的（网络）接口 [!][名称]

这是包经由该接口接收的可选的入口名称，包通过该接口接收（在链INPUT、FORWORD和PREROUTING中进入的包）。当在接口名前使用”!”说明后，指的是相反的名称。如果接口名后面加上”+”，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为”+”，那么将匹配任意接口。 )

#/sbin/iptables -A FORWARD -i eth0 -p tcp –dport 80 -j DROP

所以上面这行说明阻止任何80端口进入服务器.

if [ -f /etc/access_mac.conf ]

then

for i in `cat /etc/access_mac.conf | grep “^[^#]” | tr -s “[\012]” | cut -c1-17` ; do

/sbin/iptables -A FORWARD -m mac –mac-source $i -i eth0 -j ACCEPT

done

fi

上面这段是设置相关的mac地址.只有在这个mac地址的电脑才可以上网.这个主要是用shell语言写的.

/sbin/iptables -A FORWARD -i eth0 -j DROP

#Drop Incomeing Hacker

/sbin/iptables -A INPUT -s 202.194.0.0 -i eth1 -j DROP

#Http Services DNAT

/sbin/iptables -A PREROUTING -t nat -p tcp -m tcp -i eth0 -d 59.00.00.0 –dport 8080 -j DNAT –to-destination 192.168.0.2:80

这个是内部机器的端口转换.

有关mac址地的格式.

ptubuntu.com#/etc/access_mac.conf

#MAC address            Employee Name OR SERVER Name

#Server Netcard Mac Address

00:14:38:0d:00:00     test

00:e0:4c:00:00:01       System Server eth0

00:e0:4c:00:00:02       System Server eth1

相关参考如下:shell tr语法查看:http://www.chinaitpower.com

IPtables命令详解

用iptables -ADC 来指定链的规则，-A添加 -D删除 -C 修改
iptables - [RI] chain rule num rule-specification[option]
用iptables - RI 通过规则的顺序指定

iptables -D chain rule num[option]
删除指定规则
iptables -[LFZ] [chain][option]
用iptables -LFZ 链名 [选项]

iptables -[NX] chain
用 -NX 指定链

iptables -P chain target[options]
指定链的默认目标

iptables -E old-chain-name new-chain-name
-E 旧的链名 新的链名
用新的链名取代旧的链名
说明
Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。
可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作’target’（目标），也可以跳向同一个表内的用户定义的链。

TARGETS
防火墙的规则指定所检查包的特征，和目标。如果包不匹配，将送往该链中下一条规则检查；如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。
ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配，到前一个链的规则重新开始。如果到达了一个内建的链(的末端)，或者遇到内建链的规则是RETURN，包的命运将由链准则指定的目标决定。

TABLES
当前有三个表（哪个表是当前表取决于内核配置选项和当前模块)。
-t table
这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块，这时若模块没有加载，(系统)将尝试(为该表)加载适合的模块。这些表如下：filter,这是默认的表，包含了内建的链INPUT（处理进入的包）、FORWORD（处理通过的包）和OUTPUT（处理本地生成的包）。nat,这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成：PREROUTING (修改到来的包)、OUTPUT（修改路由之前本地的包）、POSTROUTING（修改准备出去的包）。mangle 这个表用来对指定的包进行修改。它有两个内建规则：PREROUTING（修改路由之前进入的包）和OUTPUT（修改路由之前本地的包）。
OPTIONS
这些可被iptables识别的选项可以区分不同的种类。

COMMANDS
这些选项指定执行明确的动作：若指令行下没有其他规定,该行只能指定一个选项.对于长格式的命令和选项名,所用字母长度只要保证iptables能从其他选项中区分出该指令就行了。
-A -append
在所选择的链末添加一条或更多规则。当源（地址）或者/与 目的（地址）转换为多个地址时，这条规则会加到所有可能的地址(组合)后面。

-D -delete
从所选链中删除一条或更多规则。这条命令可以有两种方法：可以把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。

-R -replace
从选中的链中取代一条规则。如果源（地址）或者/与 目的（地址）被转换为多地址，该命令会失败。规则序号从1开始。

-I -insert
根据给出的规则序号向所选链中插入一条或更多规则。所以，如果规则序号为1，规则会被插入链的头部。这也是不指定规则序号时的默认方式。

-L -list
显示所选链的所有规则。如果没有选择链，所有链将被显示。也可以和z选项一起使用，这时链会被自动列出和归零。精确输出受其它所给参数影响。

-F -flush
清空所选链。这等于把所有规则一个个的删除。

–Z -zero
把所有链的包及字节的计数器清空。它可以和 -L配合使用，在清空前察看计数器，请参见前文。

-N -new-chain
根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在。

-X -delete-chain
删除指定的用户自定义链。这个链必须没有被引用，如果被引用，在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数，这条命令将试着删除每个非内建的链。

-P -policy
设置链的目标规则。

-E -rename-chain
根据用户给出的名字对指定链进行重命名，这仅仅是修饰，对整个表的结构没有影响。TARGETS参数给出一个合法的目标。只有非用户自定义链可以使用规则，而且内建链和用户自定义链都不能是规则的目标。

-h Help.
帮助。给出当前命令语法非常简短的说明。

PARAMETERS
参数
以下参数构成规则详述，如用于add、delete、replace、append 和 check命令。

-p -protocal [!]protocol
规则或者包检查(待检查包)的协议。指定协议可以是tcp、udp、icmp中的一个或者全部，也可以是数值，代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上”!”表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议，而且这是缺省时的选项。在和check命令结合时，all可以不被使用。
-s -source [!] address[/mask]
指定源地址，可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字，在网络掩码的左边指定网络掩码左边”1″的个数，因此，mask值为24等于255.255.255.0。在指定地址前加上”!”说明指定了相反的地址段。标志 –src 是这个选项的简写。

-d –destination [!] address[/mask]
指定目标地址，要获取详细说明请参见 -s标志的说明。标志 –dst 是这个选项的简写。

-j –jump target
-j 目标跳转
指定规则的目标；也就是说，如果包匹配应当做什么。目标可以是用户自定义链（不是这条规则所在的），某个会立即决定包的命运的专用内建目标，或者一个扩展（参见下面的EXTENSIONS）。如果规则的这个选项被忽略，那么匹配的过程不会对包产生影响，不过规则的计数器会增加。

-i -in-interface [!] [name]
i -进入的（网络）接口 [!][名称]
这是包经由该接口接收的可选的入口名称，包通过该接口接收（在链INPUT、FORWORD和PREROUTING中进入的包）。当在接口名前使用”!”说明后，指的是相反的名称。如果接口名后面加上”+”，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为”+”，那么将匹配任意接口。

-o –out-interface [!][name]
-o –输出接口[名称]
这是包经由该接口送出的可选的出口名称，包通过该口输出（在链FORWARD、OUTPUT和POSTROUTING中送出的包）。当在接口名前使用”!”说明后，指的是相反的名称。如果接口名后面加上”+”，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为”+”，那么将匹配所有任意接口。

[!] -f, –fragment
[!] -f –分片
这意味着在分片的包中，规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口（或者是ICMP类型的），这类包将不能匹配任何指定对他们进行匹配的规则。如果”!”说明用在了”-f”标志之前，表示相反的意思。

OTHER OPTIONS
其他选项
还可以指定下列附加选项：

-v –verbose
-v –详细
详细输出。这个选项让list命令显示接口地址、规则选项（如果有）和TOS（Type of Service）掩码。包和字节计数器也将被显示，分别用K、M、G(前缀)表示1000、1,000,000和1,000,000,000倍（不过请参看-x标志改变它），对于添加,插入,删除和替换命令，这会使一个或多个规则的相关详细信息被打印。

-n –numeric
-n –数字
数字输出。IP地址和端口会以数字的形式打印。默认情况下，程序试显示主机名、网络名或者服务（只要可用）。

-x -exact
-x -精确
扩展数字。显示包和字节计数器的精确值，代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。

–line-numbers
当列表显示规则时，在每个规则的前面加上行号，与该规则在链中的位置相对应。

MATCH EXTENSIONS
对应的扩展
iptables能够使用一些与模块匹配的扩展包。以下就是含于基本包内的扩展包，而且他们大多数都可以通过在前面加上!来表示相反的意思。

tcp
当 –protocol tcp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载。它提供以下选项：

–source-port [!] [port[:port]]
源端口或端口范围指定。这可以是服务名或端口号。使用格式端口：端口也可以指定包含的（端口）范围。如果首端口号被忽略，默认是”0″，如果末端口号被忽略，默认是”65535″，如果第二个端口号大于第一个，那么它们会被交换。这个选项可以使用 –sport的别名。

–destionation-port [!] [port:[port]]
目标端口或端口范围指定。这个选项可以使用 –dport别名来代替。

–tcp-flags [!] mask comp
匹配指定的TCP标记。第一个参数是我们要检查的标记，一个用逗号分开的列表，第二个参数是用逗号分开的标记表,是必须被设置的。标记如下：SYN ACK FIN RST URG PSH ALL NONE。因此这条命令：iptables -A FORWARD -p tcp –tcp-flags SYN, ACK, FIN, RST SYN只匹配那些SYN标记被设置而ACK、FIN和RST标记没有设置的包。

[!] –syn
只匹配那些设置了SYN位而清除了ACK和FIN位的TCP包。这些包用于TCP连接初始化时发出请求；例如，大量的这种包进入一个接口发生堵塞时会阻止进入的TCP连接，而出去的TCP连接不会受到影响。这等于 –tcp-flags SYN, RST, ACK SYN。如果”–syn”前面有”!”标记，表示相反的意思。

–tcp-option [!] number
匹配设置了TCP选项的。

udp
当protocol udp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载,它提供以下选项：

–source-port [!] [port:[port]]
源端口或端口范围指定。详见 TCP扩展的–source-port选项说明。

–destination-port [!] [port:[port]]
目标端口或端口范围指定。详见 TCP扩展的–destination-port选项说明。

icmp
当protocol icmp被指定,且其他匹配的扩展未被指定时,该扩展被装载。它提供以下选项：
–icmp-type [!] typename
这个选项允许指定ICMP类型，可以是一个数值型的ICMP类型，或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。

mac
–mac-source [!] address
匹配物理地址。必须是XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWORD和INPUT链的包有效。

limit
这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配,它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时,使用这个扩展包的规则将进行匹配.(除非使用了”!”标记)

–limit rate
最大平均匹配速率：可赋的值有’/second’, ’/minute’, ’/hour’, or ’/day’这样的单位，默认是3/hour。

–limit-burst number
待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5

multiport
这个模块匹配一组源端口或目标端口,最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。

–source-port [port[, port]]
如果源端口是其中一个给定端口则匹配

–destination-port [port[, port]]
如果目标端口是其中一个给定端口则匹配

–port [port[, port]]
若源端口和目的端口相等并与某个给定端口相等,则匹配。
mark
这个模块和与netfilter过滤器标记字段匹配（就可以在下面设置为使用MARK标记）。

–mark value [/mask]
匹配那些无符号标记值的包（如果指定mask，在比较之前会给掩码加上逻辑的标记）。

owner
此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链，而且即使这样一些包（如ICMP ping应答）还可能没有所有者，因此永远不会匹配。

–uid-owner userid
如果给出有效的user id，那么匹配它的进程产生的包。

–gid-owner groupid
如果给出有效的group id，那么匹配它的进程产生的包。

–sid-owner seessionid
根据给出的会话组匹配该进程产生的包。

state
此模块，当与连接跟踪结合使用时，允许访问包的连接跟踪状态。

–state state
这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接，ESTABLISHED表示是双向传送的连接，NEW表示包为新的连接，否则是非双向传送的，而RELATED表示包由新连接开始，但是和一个已存在的连接在一起，如FTP数据传送，或者一个ICMP错误。

unclean
此模块没有可选项，不过它试着匹配那些奇怪的、不常见的包。处在实验中。

tos
此模块匹配IP包首部的8位tos（服务类型）字段（也就是说，包含在优先位中）。

–tos tos
这个参数可以是一个标准名称，（用iptables -m tos -h 察看该列表），或者数值。

TARGET EXTENSIONS
iptables可以使用扩展目标模块：以下都包含在标准版中。

LOG
为匹配的包开启内核记录。当在规则中设置了这一选项后，linux内核会通过printk()打印一些关于全部匹配包的信息（诸如IP包头字段等）。
–log-level level
记录级别（数字或参看 syslog.conf(5)）。
–log-prefix prefix
在纪录信息前加上特定的前缀：最多14个字母长，用来和记录中其他信息区别。

–log-tcp-sequence
记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。

–log-tcp-options
记录来自TCP包头部的选项。
–log-ip-options
记录来自IP包头部的选项。

MARK
用来设置包的netfilter标记值。只适用于mangle表。

–set-mark mark

REJECT
作为对匹配的包的响应，返回一个错误的包：其他情况下和DROP相同。

此目标只适用于INPUT、FORWARD和OUTPUT链，和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性：

–reject-with type
Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port-nreachable、icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited，该类型会返回相应的ICMP错误信息（默认是port-unreachable）。选项 echo-reply也是允许的；它只能用于指定ICMP ping包的规则中，生成ping的回应。最后，选项tcp-reset可以用于在INPUT链中,或自INPUT链调用的规则，只匹配TCP协议：将回应一个TCP RST包。
TOS
用来设置IP包的首部八位tos。只能用于mangle表。

–set-tos tos
你可以使用一个数值型的TOS 值，或者用iptables -j TOS -h 来查看有效TOS名列表。
MIRROR
这是一个试验示范目标，可用于转换IP首部字段中的源地址和目标地址，再传送该包,并只适用于INPUT、FORWARD和OUTPUT链，以及只调用它们的用户自定义链。

SNAT
这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址（此连接以后所有的包都会被影响），停止对规则的检查，它包含选项：

–to-source [:port-port]
可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，源端口中512以下的（端口）会被安置为其他的512以下的端口；512到1024之间的端口会被安置为1024以下的，其他端口会被安置为1024或以上。如果可能，端口不会被修改。

–to-destiontion [:port-port]
可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，目标端口不会被修改。

MASQUERADE
只用于nat表的POSTROUTING链。只能用于动态获取IP（拨号）连接：如果你拥有静态IP地址，你要用SNAT。伪装相当于给包发出时所经过接口的IP地址设置一个映像，当接口关闭连接会终止。这是因为当下一次拨号时未必是相同的接口地址（以后所有建立的连接都将关闭）。它有一个选项：

–to-ports
指定使用的源端口范围，覆盖默认的SNAT源地址选择（见上面）。这个选项只适用于指定了-p tcp或者-p udp的规则。

REDIRECT
只适用于nat表的PREROUTING和OUTPUT链，和只调用它们的用户自定义链。它修改包的目标IP地址来发送包到机器自身（本地生成的包被安置为地址127.0.0.1）。它包含一个选项：

–to-ports
指定使用的目的端口或端口范围：不指定的话，目标端口不会被修改。只能用于指定了-p tcp 或 -p udp的规则。

DIAGNOSTICS
诊断
不同的错误信息会打印成标准错误：退出代码0表示正确。类似于不对的或者滥用的命令行参数错误会返回错误代码2，其他错误返回代码为1。

BUGS
臭虫
Check is not implemented (yet).
检查还未完成。

COMPATIBILITY WITH IPCHAINS
与ipchains的兼容性
iptables和Rusty Russell的ipchains非常相似。主要区别是INPUT 链只用于进入本地主机的包,而OUTPUT只用于自本地主机生成的包。因此每个包只经过三个链的一个；以前转发的包会经过所有三个链。其他主要区别是 -i 引用进入接口；-o引用输出接口，两者都适用于进入FORWARD链的包。当和可选扩展模块一起使用默认过滤器表时，iptables是一个纯粹的包过滤器。这能大大减少以前对IP伪装和包过滤结合使用的混淆，所以以下选项作了不同的处理：
-j MASQ
-M -S
-M -L
在iptables中有几个不同的链。

看完那么多.那你还需要再看一些命吧……接下看.

Iptables 命令使用举例
1、链的基本操作

（1） 清除所有规则

1）          清除预设表filter中所有规则链中的规则

# iptables –F

2) 清除预设表filter中使用者自定链中的规则

# iptables –X

3)将指定链中所有规则的包字节计数器清零

#  iptables –Z

(2)设置链的默认策略

1）先允许，再禁止

用下面的命令初始化

# iptables –P INPUT  ACCEPT

# iptables –P OUTPUT  ACCEPT

# iptables –P FORWARD  ACCEPT

2）          先禁止，再允许

用下面的命令初始化

# iptables –P INPUT  DROP

# iptables –P OUTPUT  DROP

# iptables –P FORWARD  DROP

（3）列出表/链中的所有规则

# iptables –L –n

（4）向链中添加规则。下面的语句用于开放网络接口

#  iptables –A INPUT –i lo –j ACCEPT

#  iptables –A OUTPUT –o lo –j ACCEPT

#  iptables –A INPUT –i eth0 –j ACCEPT

#  iptables –A OUTPUT –o eth0 –j ACCEPT

#  iptables –A FORWARD –i eth0 –j ACCEPT

#  iptables –A FORWARD –o eth0 –j ACCEPT

（5）使用用户自定义链

#  iptables –N custom

#  iptables –A custom –s 0/0 –d 0/0 –p icmp –j DROP

#  iptables –A INPUT –s 0/0 –d 0/0 –j custom

2、设置基本的规则匹配（忽略目标动作）
（1） 指定协议匹配

1）          匹配指定的协议

#  iptables –A INPUT –p tcp

2）          匹配指定协议之外的所有协议

#  iptables –A INPUT –p ! tcp

（2） 指定地址匹配

1）          指定匹配的主机

#  iptables –A INPUT –s 192.168.0.1

2）          指定匹配的网络

#  iptables –A INPUT –s 192.168.0.0/24

3）          匹配指定主机之外的地址

#  iptables –A INPUT –s ! 192.168.0.1

4）          匹配指定网络之外的网络

#  iptables –A INPUT –s ! 192.168.0.1/24

（3） 指定网络接口匹配

1）          指定单一的网络接口匹配

#  iptables –A INPUT –i eth0

#  iptables –A FORWARD –o eth0

2）          指定同类型的网络接口匹配

#  iptables –A FORWARD –o ppp+

（4） 指定端口匹配

1）          指定单一的端口匹配

#  iptables –A INPUT –p tcp –sport wwww

#  iptables –A INPUT –p tcp –sport 80

#  iptables –A INPUT –p udp –sport 53

#  iptables –A INPUT –p udp –dport 53

2）          匹配指定端口之外的端口

#  iptables –A INPUT –p tcp –dport !22

3）          匹配指定的端口范围

#  ipbables –A INPUT –p tcp –sport 22:80

4）          匹配ICMP端口和ICMP 类型

#  iptables –A INPUT –p icmp-type 8

（5） 指定IP碎片

#  iptables –A FORWARD –p tcp –s 192.168.0.0/24 –d 192.168.2.100 –dport 80 –f ACCEPT

#  iptables –A FORWARD –f –s 192.168.0.0/24 –d 192.168.2.100 –j ACCEPT
3、设置扩展的规则匹配（忽略目标动作）（1）多端口匹配扩展

1）匹配多个源端口

#  iptables –A INPUT –p tcp –m multiport –source-port 22,53,80,110

2）匹配多个目的端口

#  iptables –A INPUT –p tcp –m multiport –destination-port 22,53,80,110

3）匹配多个端口

#  iptables –A INPUT –p tcp –m multiport –prot 22,53,80,110

（2）指定TCP匹配扩展

通过使用–tcp-flags 选项可以根据TCP包的标志位进行过滤，第一个参数为要检查的标志位；第二个参数是标志位为1的标志

#  iptables –A INPUT –p tcp –tcp-flags SYN,FIN,ACK SYN

#  iptables –p tcp –syn

表示SYN、ACK、FIN的标志都要检查，但是只有设置了SYN的才匹配

# iptables –A INPUT –p tcp –tcp-flags ALL SYN,ACK

表示ALL（SYN，ACK，FIN，RST，USG，PSH）的标志都要检查，但是只有设置了SYN和ACK的才匹配

（3）limit速率匹配扩展

1）指定单位时间内允许通过的数据包个数

# iptables –A INPUT –m limit –limit 300/hour

表示限制每小时允许通过300个数据包

2）指定触发事件的阀值（默认值是5）

# iptables –A INPUT –m limit –limit-burst 10

表示一次涌入的封包超过10个将被直接丢弃

3）同时指定速率限制和触发阀值

# iptables –A INPUT –p icmp –m limit –limit 3/m –limit-burst 3

以上命令参考内容来处http://www.blogjava.net

http://blog.chinaunix.net/

该版本更新了为最新的Linux内核版本 2.6.30 的扩展以及相应的文档更新。

下载地址： http://www.netfilter.org/projects/iptables/downloads.html

1.先用光盘选择winPE系统.把硬盘格式化.特别是有装过linux那需要更新一下MBR.

2.格式化一个盘.把要安装的软件和程序COPY 到硬盘上.

generic-pc-1.231+zh.img     physdiskwrite.exe  在使用physdiskwrite时如果你的硬盘超过2G大的.

输入该命令:physdiskwrite.exe -u generic-pc-1.231+zh.img

会让你选择你要安装的硬盘符(0..1)

然后再选硬盘，我这是第一个，你们写的时候要看清楚是写哪个。所以就选0，然后出一些警告，意思为这样操作会把硬盘里的以前的数据会全删除，按Y继续。如果要继续操作，按Y，等待写盘完成。写盘很快，就几秒钟。否则按N就退出。

这样就安装成功了.进入系统.会自动查到网卡.配置网卡
按1 加网卡，然后下面就会出

vro 00:0c:29:60:f2:56
set0 00:0c:29:60:f2:60

后面按提示输入第一个是LAN 第二个是WAN.设置完了.再选择第二个.设置LAN的IP地址.还有一个设置DHCP的.

这样就算是基本完了.就可以进入系统.

在这里安装花最多的就是安装系统了.因为格式化不对.老安装不上系统.觉的很烦.后来才知道原来硬盘符改按错了.老装不上.

相关的软件路由网

WayOS PC版路由器软件

實作 Layer 7 封包過濾

參考資訊

• L7-filter Kernel Version HOWTO
• L7-filter 安裝實錄

下載檔案

要手動編譯新版本的核心並加入 layer7 封包過濾選項的話，需要俱備以下套件：

• linux kernel source
• iptables source
• l7-filter patch
• l7-filter protocols

在本文當中，所重新編譯的版本如下：

• kernel：2.6.24.4
• iptables：1.4.0
• l7-filter patch：2.17
• l7-filter protocols：2008-02-20

為了方便管理，把以上套件均放在 /usr/src/kernels。

0001

root # cd /usr/src/kernels/

可以選擇任何可下載網路檔案的工具，如 lynx、wget，或 mozilla、firefox 等等工具下載，在此範例使用 wget，方法如下：

0001
0002
0003
0004

root # wget ftp://ftp.tw.kernel.org/pub/linux/kernel/v2.6/linux-2.6.24.4.tar.bz2
root # wget ftp://ftp.netfilter.org/pub/iptables/iptables-1.4.0.tar.bz2
root # wget http://nchc.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.17.tar.gz
root # wget http://nchc.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2008-02-20.tar.gz

將套件解壓縮。

0001

root # tar -jxvf linux-2.6.24.4.tar.bz2; tar -zxvf l7-protocols-2008-02-20.tar.gz; tar -zxvf netfilter-layer7-v2.17.tar.gz; tar -jxvf iptables-1.4.0.tar.bz2

更新 kernel

為了安裝方便，我們為 linux-2.6.24.4 這個目錄建位一個軟連結，以便切換目錄。

更新 kernel patch，增加 layer7 filter 選項。

0001

root # ln -s linux-2.6.24.4 linux; cd linux

若您想延續使用舊版 kernel 的選項的話，您可以把 .config 檔案複制到新 kernel 的目錄下，此時重新選擇項目時就會延用之前的設定。

為 kernel source 上 layer7 的 patch。

0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012

root # patch -p1 < ../netfilter-layer7-v2.17/kernel-2.6.22-2.6.24-layer7-2.17.patch
patching file net/netfilter/Kconfig
patching file net/netfilter/Makefile
patching file net/netfilter/xt_layer7.c
patching file net/netfilter/regexp/regexp.c
patching file net/netfilter/regexp/regexp.h
patching file net/netfilter/regexp/regmagic.h
patching file net/netfilter/regexp/regsub.c
patching file net/netfilter/nf_conntrack_core.c
patching file net/netfilter/nf_conntrack_standalone.c
patching file include/net/netfilter/nf_conntrack.h
patching file include/linux/netfilter/xt_layer7.h

選擇 layer 7 相關選項

在 kernel 選項裡，需要把相關的設定選擇起來才可以，以下為完整有關 layer 7 的項目。

0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012
0013
0014
0015
0016
0017
0018
0019
0020
0021
0022
0023
0024
0025
0026
0027
0028
0029
0030
0031
0032
0033
0034
0035
0036
0037
0038
0039
0040
0041
0042
0043
0044
0045
0046
0047
0048
0049
0050
0051
0052
0053
0054
0055
0056
0057
0058
0059
0060
0061
0062
0063
0064
0065
0066
0067
0068
0069
0070
0071
0072
0073
0074
0075
0076
0077
0078
0079
0080
0081
0082
0083
0084
0085
0086
0087
0088
0089
0090
0091
0092

root # make menuconfig
 General setup  --->
     [*] Prompt for development and/or incomplete code/drivers
 Networking  --->
       Networking options  --->
           [*] Network packet filtering framework (Netfilter)  --->
                 Core Netfilter Configuration  --->
                     <M> Netfilter connection tracking support
                     -*- Connection tracking flow accounting
                     -*- Connection mark tracking support
                     [*] Connection tracking security mark support
                     [*] Connection tracking events (EXPERIMENTAL)
                     <M> SCTP protocol connection tracking support (EXPERIMENTAL)
                     <M> UDP-Lite protocol connection tracking support (EXPERIMENTAL)
                     <M> Amanda backup protocol support
                     <M> FTP protocol support
                     <M> H.323 protocol support (EXPERIMENTAL)
                     <M> IRC protocol support
                     <M> NetBIOS name service protocol support (EXPERIMENTAL)
                     <M> PPtP protocol support
                     <M> SANE protocol support (EXPERIMENTAL)
                     <M> SIP protocol support (EXPERIMENTAL)
                     <M> TFTP protocol support
                     <M> Connection tracking netlink interface (EXPERIMENTAL)
                     {M} Netfilter Xtables support (required for ip_tables)
                     <M>   "CLASSIFY" target support
                     <M>   "CONNMARK" target support
                     <M>   "DSCP" target support
                     <M>   "MARK" target support
                     <M>   "NFQUEUE" target Support
                     <M>   "NFLOG" target support
                     <M>   "NOTRACK" target support
                     <M>   "TRACE" target support
                     <M>   "TRACE" target support
                     <M>   "SECMARK" target support
                     <M>   "CONNSECMARK" target support
                     <M>   "TCPMSS" target support
                     <M>   "comment" match support
                     <M>   "connbytes" per-connection counter match support
                     <M>   "connlimit" match support"
                     <M>   "connmark" connection mark match support
                     <M>   "conntrack" connection tracking match support
                     <M>   "DCCP" protocol match support
                     <M>   "DCCP" protocol match support
                     <M>   "DSCP" match support
                     <M>   "ESP" match support
                     <M>   "helper" match support
                     <M>   "length" match support
                     <M>   "limit" match support
                     <M>   "mac" address match support
                     <M>   "mark" match support
                     <M>   IPsec "policy" match support
                     <M>   Multiple port match support
                     <M>   "physdev" match support
                     <M>   "pkttype" packet type match support
                     <M>   "quota" match support
                     <M>   "realm" match support
                     <M>   "sctp" protocol match support (EXPERIMENTAL)
                     <M>   "state" match support
                     <M>   "layer7" match support
                     [*]     Layer 7 debugging output
                     <M>   "statistic" match support
                     <M>   "string" match support
                     <M>   "tcpmss" match support
                     <M>   "time" match support
                     <M>   "u32" match support
                     <M>   "hashlimit" match support
                 IP: Netfilter Configuration  --->
                     <M> IPv4 connection tracking support (required for NAT)
                     [*]   proc/sysctl compatibility with old connection tracking (NEW
                     <M> IP Userspace queueing via NETLINK (OBSOLETE)
                     <M> IP tables support (required for filtering/masq/NAT)
                     <M>   IP range match support
                     <M>   TOS match support
                     <M>   recent match support
                     <M>   ECN match support
                     <M>   AH match support
                     <M>   TTL match support
                     <M>   Owner match support
                     <M>   address type match support
                     <M>   Packet filtering
                     <M>     REJECT target support
                     <M>   LOG target support
                     <M>   ULOG target support
                     <M>   Full NAT (NEW)
                     <M>     MASQUERADE target support
                     <M>     REDIRECT target support
                     <M>     NETMAP target support
                     <M>     SAME target support (OBSOLETE)
                     <M>     Basic SNMP-ALG support (EXPERIMENTAL)
                     <M>   Packet mangling
                     <M>     TOS target support

較為重要的是 “layer7″ match support 項目與 IPv4 connection tracking support (required for NAT) 項目，若您不知道的話就請把 Core Netfilter Configuration 與 IP: Netfilter Configuration 裡的選項全部選起來即可。

編譯並安裝新版核心

重 kernel 2.6 開始，編譯核心就變得更為簡單，只需要幾個 make 的指令即可，安裝完後會自動修改 GRUB 的選項，不需手動修改，減少了手動修改錯誤的危險。

0001
0002
0003
0004
0005

root # make
root # make modules
root # make modules_install
root # make install
sh /usr/src/kernels/linux-2.6.24.4/arch/x86/boot/install.sh 2.6.24.4 arch/x86/boot/bzImage System.map "/boot"

更新 iptables patch

更新 iptables 需注意是否在現有的 kernel 中 netfilter 子系統相符合，若使用了不在 kernel 所支援的模組，在設定 iptables 會出現錯誤。以下指令可新增 laery7 模組的指令。

0001
0002
0003
0004
0005

root # cd /usr/src/kernels/iptables-1.4.0
root # patch -p1 < ../netfilter-layer7-v2.17/iptables-1.4-for-kernel-2.6.20forward-layer7-2.17.patch
patching file extensions/libipt_layer7.c
patching file extensions/libipt_layer7.man
patching file extensions/.layer7-test

設定 KERNEL_DIR 與 IPTABLES_DIR 環境變數，並開始編譯安裝。

0001
0002
0003
0004

root # export KERNEL_DIR=/usr/src/kernels/linux; export IPTABLES_DIR=/usr/src/kernels/iptables-1.4.0
root # chmod +x extensions/.layer7-test
root # make && make install
root #

安裝通訊定議檔

使用 layer7 模組時，會參考 /etc/l7-protocols 目錄下的定議檔，各通訊協定的封包特徵會在 l7-protocols 的套件裡，解開之後直接安裝即可。

0001
0002
0003
0004

root # cd /usr/src/kernels/l7-protocols-2008-02-20
root # make install
mkdir -p /etc/l7-protocols
cp -R * /etc/l7-protocols

重新開機

重新編譯了核心之後，需要重新啟動電腦才能套用新的核心套件，請使用 uname 指令查看是否設定成功。

0001
0002
0003

root # uname -a; iptables -V
Linux localhost.localdomain 2.6.24.4 #1 SMP Thu Apr 10 23:21:08 CST 2008 i686 i686 i386 GNU/Linux
iptables v1.4.0

測試

MSN Messenger

以下測試會拒絕連出 MSN Menssenger 封包，在 iptables 的 OUTPUT 政策裡，我們在 X-Window 執行 GAIM 連出時，會發現 msnmessenger 的封包被 DROP。

語法：

iptables -A OUTPUT -m layer7 –l7proto msnmessenger -j DROP

0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011

root # iptables -A OUTPUT  -m layer7 --l7proto msnmessenger -j DROP
root # iptables -L -n -v
Chain INPUT (policy ACCEPT 3056 packets, 394K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 1274 packets, 159K bytes)
 pkts bytes target     prot opt in     out     source               destination
   34  2584 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto msnmessenger

BitTorrent

第二個測試拒絕連出 BitTorrent 封包，我們在設定好拒絕 bittorrent 封包後，在本機使用 BT 下載檔案均失敗，可從 iptables 指令查出。

語法：

iptables -A OUTPUT -m layer7 –l7proto bittorrent -j DROP

0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012

root # iptables -A OUTPUT  -m layer7 --l7proto bittorrent -j DROP
root # iptables -L -n -v
Chain INPUT (policy ACCEPT 33768 packets, 33M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 25235 packets, 2362K bytes)
 pkts bytes target     prot opt in     out     source               destination
   91  6916 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto msnmessenger
   78  7920 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto bittorrent

若您把 layer7 安裝在網路閘道 (Gateway) 上的話，那麼請使用 PREROUTING 或 FORWARD 連線才會有效。iptables 可參考 iptables 封包過瀘規則 (new window)。

後記：

若您打算在您的防火牆上使用 layer7 封包過濾功能的話，那麼所需的記憶體與 CPU 會更多，若您的使用者連線數同一時間超過百人，並且頻繁的取存網路的話，那麼可能需要考慮使用較高效能的網路卡與更多的記憶體。若您在啟用 layer7 功能後發現網路變得很慢的話，那麼就需要檢查您的網卡與記憶體是否足夠。

来自:http://hi.baidu.com/vyatta/blog/item/80f6fa099528d187d0581bcd.html

笔者认为所有的管理员都应彻底地理解Iptables，不过，另外一个可选择的方法是运用出色的Linux防火墙生成工具。

Firewall Builder

第一个出场的便是Firewall Builder，这是一个完善的多平台的图形化的防火墙配置和管理工具。它运行在iptables、 ipfilter、 OpenBSD的 PF、思科的PIX之上。通过设计，它将规则设计的细节隐藏起来，而着重于编写策略。不过，不要在你真实的防火墙上运行防火墙生成器，因为它需要X Windows。你需要将其运行在一台工作站上，然后将脚本复制到防火墙上。

Firestarter

第二位是Firestarter，它是一款优秀的图形化的防火墙生成向导，它可以引导你一步一步地通过构建防火墙的过程。对于与局域网共享唯一公共IP地址的NAT防火墙来说，这是一个不错的选择，并且在防火墙之后，它还有一些公共服务，或者一个分离的DMZ。它拥有打开或关闭防火墙的一些简易命令，可以查看状态视图和当前的活动。你可以将其运行在一台headless计算机上，并远程监视之，或者将其用作一个独立的防火墙。

Shorewall

第三位Shorewall是一个流行的防火墙生成器；它比Firestarter更加复杂和灵活，并且它适合用于更加复杂的网络。Shorewall的学习曲线类似于iptables，不过，其文档资料丰富，并且提供提供不同情况的解决方法指南，如单一主机防火墙，两接口和三接口防火墙，以及拥有多个公共IP地址的防火墙等等。你可以获得许多关于过滤P2P服务的帮助，如Kazaa速率限制、QqS(质量服务)、VPN转移归向等内容。

我们向你推荐这三个软件的目的是让你不用花钱购买商业的防火墙软件，后者无论如何不如内置的Linux和Unix包过滤器。用户应该将有限的资金用于购买更高质量的硬件上。

来自:http://article.pchome.net/content-804802.html

配置动态DNS服务器的核心思想是：在DNS服务器上运行多个BIND，每个BIND为来自不同区

域的用户提供解析，因此每个BIND都应具有不同的配置文件和域文件，并且分别监听在不同

的端口。在接到客户端DNS请求时，根据客户的ip地址将请求重定向不同的BIND服务端口。

BIND响应时，再改写相应包的服务端口为标准的53端口。这样就可以根据客户端的ip地址将

不同的解析结果返回给客户端。整个过程对于客户端来说都是透明的。实现的关键在于运行

不同的BIND及运用iptables进行ip地址及端口改写操作。

关于iptables更为详细的信息，请参考解决方案中作者的两篇文章——《用iptales实现包

过虑型防火墙》及《用iptables实现NAT》。

二、配置过程

步骤1： 配置内核

netfilter要求内核版本不低于2.3.5，在编译新内核时，要求选择和netfilter相关的项目。这

些项目通常都是位于”Networking options”子项下。以2.4.0内核为例，我们应该选中的项目有：

[*] Kernel/User netlink socket ! ;

[ ] Routing messages

<*> Netlink device emulation

[*] Network packet filtering (replaces ipchains)

…….

然后，在”IP: Netfilter Configuration —->”选中：

Connection tracking (required for masq/NAT)

FTP protocol support

IP tables support (required for filtering/masq/NAT)

limit match support

MAC address match support

Netfilter MARK match support

Multiple port match support

TOS match support

Connection state match support

Packet filtering

&! nbsp; REJECT target support

Fu ll NAT

MASQUERADE target support

REDIRECT target support

Packet mangling

TOS target support

MARK target support

LOG target support

ipchains (2.2-style) support

ipfwadm (2.0-style) support

其中最后两个项目可以不选，但是如果你比较怀念ipchains或者ipfwadm，你也可以将其

选中，以便在2.4内核中使用ipchians或ipfwadm。但是需要注意的是，iptables是和

ipchians/ipfwadm相对立的，在使用iptables的同时就不能同时使用ipchains/ipfwadm。

编译成功后，这些模块文件都位于以下目录中

/lib/modules/2.4.0/kernel/net/ipv4/netfilter

编译2.4.0的新内核时还应该注意要在”Processor type and fea! tures”中选择和你的

CPU相对应的正确的CPU选项，否则新内核可能无法正常工作。

步骤二、 配置BIND服务

缺省地，BIND服务监听在53端口，我们可以通过配置让BIND运行在不同的ip及端口上。

实现这一点并不复杂，假设我们的DNS服务器的ip地址是211.163.76.1，并且我们想区分

CERNET及非CERNET的客户，这时我们必须运行两个BIND，使用不同的配置文件。可以在

使用非标准监听端口的BIND的配置文件中用listen-on指定BIND监听的端口，比如：

options {

listen-on port 54 {211.163.76.1;}

directory “/var/named_cernet”;

};

可以用named的-c 选项指定named读入不同的配置文件，比如：

/usr/sbin/named -u named -c /etc/named_cernet.conf

步骤三、配置重定向规则

假设监听在标准端口的BIND服务器为非CERNET客户提供DNS解析，监听在54端口的BIND服务器

为CERNET服务器提供DNS解析，我们可以建立如下的规则脚本：

#!/bin/bash

#打开端口转发

echo 1 >&nb! sp;/proc/sys/net/ipv4/ip_forward

#加载相关的内核模块

/sbi n/modprobe iptable_filter

/sbin/modprobe ip_tables

/sbin/modprobe iptables_nat

#刷新所有规则

/sbin/iptables -t nat -F

#加入来自CERNET的DNS请求转发规则，将其转发到本地54端口，CERNET地址列表可从www.nic.edu.cn/RS/ipstat/获得

/sbin/iptables -t nat -A PREROUTING -p udp -s 163.105.0.0/16 –dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p tcp -s 163.105.0.0/16 –dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p udp -s 166.111.0.0/16 –dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p tcp -s 166.111.0.0/16 –dport 53 -i eth0 -j REDIRECT 54!

/sbin/iptables -t nat -A PREROUTING -p udp -s 202.4.128.0/19 –dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.4.128.0/19 –dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p udp -s 202.112.0.0/15 –dport 53 -i eth0 -j REDIRECT 54

/sbin/iptables -t nat -A PREROUTING -p tcp -s 202.112.0.0/15 –dport 53 -i eth0 -j REDIRECT 54

…

#将返回给CERNET DNS客户数据包的源端口(54端口)伪装成53端口

/sbin/iptables -t nat -A POSTROUTING -p udp –sport 54 -o eth0 -j SNAT –to 211.163.76.1:53

/sbin/iptables -t&n! bsp;nat -A POSTROUTING -p tcp –sport&n bsp;54 -o eth0 -j SNAT –to 211.163.76.1:53

教育网网的朋友可以从这里这里下载该脚本，将脚本中的DNS_IP及CNET_PORT参数改成你自

己的DNS服务器地址及监听端口即可。

步骤四、 运行动态DNS

配置完成后我们启动DNS服务器，并且运行相应的规则脚本，我们的动态DNS服务器就可以正常工作了。

来自:sina.com.cn