实验案例：公司使用一台运行RHEL5系统的服务器作为网关，分别连接三个网络，其中LAN1为普通员工电脑所在的局域网，LAN2为DNS缓存服务器所在的局域网。eth0通过10M光纤接入Internet。为了有效的管理网络环境及增强内部网络的安全性，需要配置iptables防火墙规则实现IP地址和端口的过滤控制。网络拓扑如下：

需求描述：

入站控制：

1.允许Internet上的主机访问网关服务器的21、25、80、110、143端口。

2.允许IP地址为201.12.13.14的远程主机访问网关22端口，并记录访问日志（每15分钟记录一次）。

3.允许IP地址为192.168.1.5、MAC地址为00:0C:27:30:4E:5D的主机访问网关的22端口。

4.仅允许局域网主机（LAN1:192.168.1.0/24）访问3128端口的代理服务。

转发控制：允许LAN1的主机通过网关访问位于LAN2的DNS的服务器（192.168.2.2）。

其它任何非明确许可的数据包入站访问均予以丢弃；数据包出站访问均允许。

编写的iptables脚本如下：

1. #!/bin/bash  
2. #This is the firewall configuration  
3.  
4. iptables -t nat -F   
5. iptables -F  
6.  
7. iptables -P INPUT DROP 
8. iptables -P FORWARD DROP 
9.  
10. iptables -A INPUT -p tcp -m multiport --dport 21,25,80,110,143 -j ACCEPT  
11.  
12. iptables -A INPUT -p tcp --dport 22 -s 201.12.13.14 -j ACCEPT  
13.  
14. iptables -A INPUT -p tcp --dport 22 -m limit --limit 4/hour -j LOG  
15.  
16. iptables -A INPUT -p tcp --dport 22 -s 192.168.1.5 -m mac --mac-source 00:0C:27:30:4E:5D -j ACCEPT  
17.  
18. iptables -A INPUT -p tcp --dport 3128 -s 192.168.1.0/24 -j ACCEPT  
19.  
20. iptables -A FORWARD -p udp --dport 53 -s 192.168.1.0/24 -j ACCEPT  
21. iptables -A FORWARD -p udp --sport 53 -d 192.168.1.0/24 -j ACCEPT  
22.    
23.  

最后还要开启Linux网关服务器的路由转发功能：

# vi /etc/sysctl.conf

net . ipv4 .ip_forward = 1

本文转自 kk5234 51CTO博客，原文链接：http://blog.51cto.com/kk5234/397029，如需转载请自行联系原作者