【第一、需求描述】 员工通过办公网络的网关服务器(linux)192.168.1.250的snat访问另外一个局域网:安全中心(10.1.1.0/24),但是为了提高安全性,只允许访问安全中心的指定端口。【第二、方案实施】
#cat/etc/sysconfig/iptables#只允许nat转发的指定的端口22,80*nat:PREROUTINGACCEPT[0:0]:POSTROUTINGACCEPT[1:92]:OUTPUTACCEPT[1:92]#从192.192.191.1这个ip出去,SNAT-APOSTROUTING-d10.1.1.0/24-jSNAT–to192.192.191.1COMMIT*filter:INPUTACCEPT[0:0]:FORWARDDROP[0:0]#默认转发是关闭的:OUTPUTACCEPT[0:0]-AFORWARD-d10.1.1.0/24-ptcp–dport22-jACCEPT#允许访问10.1.1.0/24的22端口-AFORWARD-d10.1.1.0/24-ptcp–dport80-jACCEPT#允许访问10.1.1.0/24的80端口-AFORWARD-d10.1.1.0/24-picmp-jACCEPT#允许ping10.1.1.0/24COMMIT
【第三、技术详解】
POSTROUTING链的输入来源是INPUT及FORWARD,即
INPUT->POSTROUTING
FORWARD->POSTROUTING
这里SNAT都是从FORWARD过来的,,所以可以通过控制FORWARD链控制SNAT的端口的白名单
本文出自 “H2O's运维&开发路” 博客,转载请与作者联系!
你可以很有个性,但某些时候请收敛。
