Linux防火牆設定—允許轉發

一、實驗目標

　　在上一次“Linux基礎網路搭建實驗”中，內、外網虛擬機器之所以能Ping通，是因為暫時關閉了防火牆，然而現實中這樣操作顯然存在很大的安全隱患，所以本次實驗在上次實驗的基礎下，開啟防火牆，並設定防火牆規則，使得內、外網虛擬機器任然能夠Ping通。

　　（Linux基礎網路搭建實驗：http://www.linuxidc.com/Linux/2017-04/143129.htm）

　　網路拓撲圖：

二、實驗步驟

1、搭建如圖所示的網路（參考“Linux基礎網路搭建實驗”）

2、在閘道器上開啟防火牆，此時內網虛擬機器不能Ping通外網虛擬機器

[root@lyy 桌面]# service iptables start

3、清除防火牆（Filter）所有規則

　一般來說，在重新制定防火牆規則的時候，應先將原先規則清楚，然後再一條一條來設定

[root@lyy 桌面]# iptables -F　　//刪除所有已定的規則
[root@lyy 桌面]# iptables -X　　//殺掉多有使用者”自定義“的chain（或者說tables）
[root@lyy 桌面]# iptables -Z　　//將所有的chain的計數與流量統計都歸零

4、定義預設規則

[root@lyy 桌面]# iptables -P INPUT DROP　　//-P：定義策略（Policy）
[root@lyy 桌面]# iptables -P OUTPUT DROP
[root@lyy 桌面]# iptables -P FORWARD DROP
[root@lyy 桌面]# iptables -A FORWARD -i eth0 -p icmp -j ACCEPT
[root@lyy 桌面]# iptables -A FORWARD -i eth1 -p icmp -j ACCEPT
[root@lyy 桌面]# iptables-save　　//列出完整的防火牆規則

規則解釋：
iptables -A FORWARD -i eth0 -p icmp -j ACCEPT
新增一條轉發規則，允許從eth0進來的Ping包通過
-A：add，表示新增一條規則，位置在原本規則的最後面
-i：input，從哪個介面進，需要與INPUT鏈配合
-p：設定此規則適用於哪種封包格式（如：tcp、udp、icmp和all）
icmp：Ping包
-j：後面接動作，主要的動作有：接受（ACCEPT）、丟棄（DROP）、拒絕（REJECT）及記錄（LOG）

三、測試結果

在內網虛擬機器上Ping外網虛擬機器

本文永久更新連結地址：http://www.linuxidc.com/Linux/2017-04/143130.htm