centos修改iptable，centos远程桌面软件

大家好,今天小编来为大家解答以下的问题，关于centos修改iptable，centos远程桌面软件这个很多人还不知道，现在让我们一起来看看吧！

Linux系统下配置squid代理服务器的过程详解

简单记录一下Squid透明代理服务器的配置

环境：VirtualBox+ CentOS 6.0+ squid-3.1.4-1.el6.i686

0、检查squid是否默认安装，没有安装的先安装

代码如下:

[root@Slyar~]# rpm-qa squid

squid-3.1.4-1.el6.i686

1、虚拟机添加双网卡，全部设置桥接，配置IP，eth0作为外网，eth1作为内网，注意配置文件里的网卡MAC地址要和设备匹配!

代码如下:

[root@Slyar~]# vim/etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE="eth0"

ONBOOT=yes

TYPE=Ethernet

HWADDR=08:00:27:BC:6A:0D

IPADDR=172.17.1.221

PREFIX=24

GATEWAY=172.17.1.254

DNS1=172.16.5.133

NAME="System eth0"

p[root@Slyar~]# vim/etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE="eth1"

ONBOOT=yes

TYPE=Ethernet

HWADDR=08:00:27:20:52:B2

IPADDR=192.168.1.254

PREFIX=24

NAME="System eth1"

p[root@Slyar~]#/etc/init.d/network restart#重新启动网卡

配置之后无法上网的，注意用route命令看一下默认路由。建议eth1就不要设置网关了，省的麻烦，当然如果你愿意配置默认路由也没所谓。

2、配置squid及透明模式

代码如下:

[root@Slyar~]# cp/etc/squid/squid.conf/etc/squid/squid.conf.bak

[root@Slyar~]# vim/etc/squid/squid.conf

为了省事，我直接把下面这行改成 http_access allow all，读者可以自行修改允许范围。

代码如下:

# And finally deny all other access to this proxy

http_access deny all

切记一定要在配置文件最下方增加下面这条语句，否则squid无法启动!

代码如下:

visible_hostname localhost

如果你要使用透明模式，在端口后面增加关键字"transparent"。

不使用透明模式的话，这行不用改，进行第3步之后可以直接跳到第7步测试了。

代码如下:

# Squid normally listens to port 3128

http_port 3128 transparent

3、启动squid

代码如下:

[root@Slyar~]# service squid restart

4、为透明代理配置iptables，设置转发

为了省事，直接创建一个shell脚本，开启网卡间流量交换，开启NAT，设置DNS转发，设置80端口流量全部转发到3128端口交给squid处理。

代码如下:

[root@Slyar~]# vim squid.sh#创建脚本文件

代码如下:

#!/bin/bash

echo"1"/proc/sys/net/ipv4/ip_forward

modprobe iptable_nat

/sbin/iptables-t nat-A POSTROUTING-j MASQUERADE

iptables-t nat-A PREROUTING-p udp--dport 53-j DNAT--to 172.16.5.133

iptables-t nat-A PREROUTING-i eth1-p tcp-s 192.168.1.0/24--dport 80-j REDIRECT--to-ports 3128

p[root@Slyar~]# chmod o+x squid.sh#给脚本执行权限

[root@Slyar~]#./squid.sh#启动脚本

5、将iptables指定保存到配置文件

代码如下:

[root@Slyar~]# service iptables save

6、重新启动iptables

代码如下:

[root@Slyar~]# service iptables restart

7、测试squid透明代理

客户端设置IP地址:192.168.1.x/24

网关：192.168.1.254

DNS服务器：192.168.1.254

8、打开IE，不用设置代理(因为是透明代理)，输入www.如果能打开就成功。

9、补充非透明代理测试方法：打开IE-工具- Internet选项-连接-局域网设置-代理服务器，设置服务器IP为192.168.1.254，端口3128，确定。

nf_conntrack: table full, dropping packet问题的解决思路

介绍：nf_conntrack工作在 3层，支持 IPv4和 IPv6，而 ip_conntrack只支持 IPv4。目前，大多的 ip_conntrack_*已被 nf_conntrack_*取代，很多 ip_conntrack_*仅仅是个 alias，原先的 ip_conntrack的/proc/sys/net/ipv4/netfilter/依然存在，但是新的 nf_conntrack在/proc/sys/net/netfilter/中，这个应该是做个向下的兼容：

复制代码

  

代码如下:

$ pwd

  /proc/sys/net/ipv4/netfilter

  $ ls

  ip_conntrack_buckets ip_conntrack_tcp_loose ip_conntrack_tcp_timeout_syn_recv

  ip_conntrack_checksum ip_conntrack_tcp_max_retrans ip_conntrack_tcp_timeout_syn_sent

  ip_conntrack_count ip_conntrack_tcp_timeout_close ip_conntrack_tcp_timeout_syn_sent2

  ip_conntrack_generic_timeout ip_conntrack_tcp_timeout_close_wait ip_conntrack_tcp_timeout_time_wait

  ip_conntrack_icmp_timeout ip_conntrack_tcp_timeout_established ip_conntrack_udp_timeout

  ip_conntrack_log_invalid ip_conntrack_tcp_timeout_fin_wait ip_conntrack_udp_timeout_stream

  ip_conntrack_max ip_conntrack_tcp_timeout_last_ack

  ip_conntrack_tcp_be_liberal ip_conntrack_tcp_timeout_max_retrans

  $ pwd

  /proc/sys/net/netfilter

  $ ls

  nf_conntrack_acct nf_conntrack_tcp_timeout_close

  nf_conntrack_buckets nf_conntrack_tcp_timeout_close_wait

  nf_conntrack_checksum nf_conntrack_tcp_timeout_established

  nf_conntrack_count nf_conntrack_tcp_timeout_fin_wait

  nf_conntrack_events nf_conntrack_tcp_timeout_last_ack

  nf_conntrack_events_retry_timeout nf_conntrack_tcp_timeout_max_retrans

  nf_conntrack_expect_max nf_conntrack_tcp_timeout_syn_recv

  nf_conntrack_generic_timeout nf_conntrack_tcp_timeout_syn_sent

  nf_conntrack_icmp_timeout nf_conntrack_tcp_timeout_time_wait

  nf_conntrack_log_invalid nf_conntrack_tcp_timeout_unacknowledged

  nf_conntrack_max nf_conntrack_udp_timeout

  nf_conntrack_tcp_be_liberal nf_conntrack_udp_timeout_stream

  nf_conntrack_tcp_loose nf_log/

  conntrack_tcp_max_retrans

查看当前的连接数：

复制代码

  

代码如下:

# grep ip_conntrack/proc/slabinfo

  ip_conntrack 38358 64324 304 13 1: tunables 54 27 8: slabdata 4948 4948 216

查出目前 ip_conntrack的排名：

复制代码

  

代码如下:

$ cat/proc/net/ip_conntrack| cut-d''-f 10| cut-d'='-f 2| sort| uniq-c| sort-nr| head-n 10

nf_conntrack/ip_conntrack跟 nat有关，用来跟踪连接条目，它会使用一个哈希表来记录 established的记录。nf_conntrack在 2.6.15被引入，而 ip_conntrack在 2.6.22被移除，如果该哈希表满了，就会出现：

复制代码

  

代码如下:

nf_conntrack: table full, dropping packet

解决此问题有如下几种思路。

1.不使用 nf_conntrack模块

  首先要移除 state模块，因为使用该模块需要加载 nf_conntrack。确保 iptables规则中没有出现类似 state模块的规则，如果有的话将其移除：

  -A INPUT-m state–state RELATED,ESTABLISHED-j ACCEPT

注释/etc/sysconfig/iptables-config中的：

复制代码

  

代码如下:

IPTABLES_MODULES="ip_conntrack_netbios_ns"

移除 nf_conntrack模块：

复制代码

  

代码如下:

$ sudo modprobe-r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state

  $ sudo modprobe-r nf_conntrack

现在/proc/net/下面应该没有 nf_conntrack了。

2.调整/proc/下面的参数

  可以增大 conntrack的条目(sessions, connection tracking entries) CONNTRACK_MAX或者增加存储 conntrack条目哈希表的大小 HASHSIZE

  默认情况下，CONNTRACK_MAX和 HASHSIZE会根据系统内存大小计算出一个比较合理的值：

  对于 CONNTRACK_MAX，其计算公式：

  CONNTRACK_MAX= RAMSIZE(in bytes)/ 16384/(ARCH/ 32)

  比如一个 64位 48G的机器可以同时处理 48*1024^3/16384/2= 1572864条 netfilter连接。对于大于 1G内存的系统，默认的 CONNTRACK_MAX是 65535。

对于 HASHSIZE，默认的有这样的转换关系：

  CONNTRACK_MAX= HASHSIZE* 8

  这表示每个链接列表里面平均有 8个 conntrack条目。其真正的计算公式如下：

  HASHSIZE= CONNTRACK_MAX/ 8= RAMSIZE(in bytes)/ 131072/(ARCH/ 32)

  比如一个 64位 48G的机器可以存储 48*1024^3/131072/2= 196608的buckets(连接列表)。对于大于 1G内存的系统，默认的 HASHSIZE是 8192。

可以通过 echo直接修改目前系统 CONNTRACK_MAX以及 HASHSIZE的值：

复制代码

  

代码如下:

$ sudo su-c"echo 100000/proc/sys/net/netfilter/nf_conntrack_max"

  $ sudo su-c"echo 50000/proc/sys/net/netfilter/nf_conntrack_buckets"

还可以缩短 timeout的值：

复制代码

  

代码如下:

$ sudo su-c"echo 600/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established"

3.使用 raw表，不跟踪连接

  iptables中的 raw表跟包的跟踪有关，基本就是用来干一件事，通过 NOTRACK给不需要被连接跟踪的包打标记，也就是说，如果一个连接遇到了-j NOTRACK，conntrack就不会跟踪该连接，raw的优先级大于 mangle, nat, filter，包含 PREROUTING和 OUTPUT链。

  当执行-t raw时，系统会自动加载 iptable_raw模块(需要该模块存在)。raw在 2.4以及 2.6早期的内核中不存在，除非打了 patch，目前的系统应该都有支持:

  $ sudo iptables-A FORWARD-m state--state UNTRACKED-j ACCEPT

  $ sudo iptables-t raw-A PREROUTING-p tcp-m multiport--dport 80,81,82-j NOTRACK

  $ sudo iptables-t raw-A OUTPUT-p tcp-m multiport--sport 80,81,82-j NOTRACK

上面三种方式，最有效的是 1跟 3，第二种治标不治本。

参考文档:

  

  

  

在linux 下如何设置iptables 防火墙

Iptable-A Input-p Tcp-d自己的IP地址 b--dPort端口-J Reject

RedHat机器

cat/etc/sysconfig/iptables

*filter

:INPUT ACCEPT [10276:1578052]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [13784:16761487]

-A INPUT-s 10.0.0.0/255.0.0.0-i eth1-j DROP

-A INPUT-s 172.16.0.0/255.240.0.0-j DROP

-A INPUT-s 192.168.0.0/255.255.0.0-i eth1-j DROP#eth1 is interface to internet

# anti Sync Flood

-A FORWARD-p tcp-m tcp--tcp-flags SYN,RST,ACK SYN-m limit--limit 1/sec-j ACCEPT

# anti some port scan

-A FORWARD-p tcp-m tcp--tcp-flags FIN,SYN,RST,ACK RST-m limit--limit 1/sec-j ACCEPT

# anti ping of death

-A FORWARD-p icmp-m icmp--icmp-type 8-m limit--limit 1/sec-j ACCEPT

COMMIT

chkconfig iptables on

以后每次启动iptables就会自动读取配置文件(/etc/sysconfig/iptables)

自动启动

或者是/etc/rc.d/init.d/iptables start手工启动

/etc/rc.d/init.d/iptables stop手工停止

在LINUX下架设防火墙

linuxbird

随着Internet的普及，人们的日常工作与之的关系也越来紧密，因而越来越多的单位为员工开设了Internet的代理上网服务。但当一个企业的内部网络接上Internet之后，企业的内部资源就象待卖的羔羊一样，面临任人宰割的危险，因而系统的安全除了考虑计算机病毒、系统的健壮性等内部原因之外，更主要的是防止非法用户通过Internet的入侵。而目前防止的措施主要是靠防火墙的技术完成。

一、什么是防火墙

防火墙(firewall)是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道(Internet)之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。主要是控制对受保护的网络(即网点)的往返访问，逼使各连接点的通过能得到检查和评估。

从诞生到现在，防火墙已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。目前防火墙供应商提供的大部分都是具有安全操作系统的软硬件结合的防火墙，象NETEYE、NETSCREEN、TALENTIT等。在LINUX操作系统上的防火墙软件也很多，除了下面要专门介绍的IPCHAINS外，还有很多，如：Sinus Firewall、Jfwadmin等。

目前的防火墙从结构上讲，可分为两种：

1）代理主机结构

内部网络<----->代理网关(Proxy Gateway)<----->Internet

2）路由器加过滤器结构

内部网络<----->过滤器(Filter)<---->路由器(Router)<---->Internet

二、用IPCHAINS构建局域网防火墙的原理

其实从本质上讲，用IPCHAINS构建局域网防火墙也是一种C/S模式的交互式的应用。一般服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中，常常把这个特定的服务绑定到特定的TCP或UDP端口。之后，该后台程序就不断地监听（listen)该端口，一旦接收到符合条件的客户端请求，该服务进行TCP握手后就同客户端建立一个连接，响应客户请求。与此同时，再产生一个该绑定的拷贝，继续监听客户端的请求。

IPCHAINS就是这样的一个SERVER。对内部网通往Intenet的请求，或从外部通往内部网的请求，都进行监听、检查、评估、转发、拒绝等动作。

常用的服务、协议与默认端口。

服务类型协议端口

WWW TCP/UDP 80

TELNET

ICMP

SMTP

POP3

FTP

DNS

三、用IPCHAINS作防火墙的步骤

1.安装

IPCHAINS现在的版本已经发展到1.3.9。一般在安装LINUX时都会安装上，如果没有的话可以到www.linux.org下载。下面笔者一TLC4.0为例安装IPCHAINS。由于它需IP-MASQ的支持，所以确定已安装了IP-MASQ模块。

在TLC4.0中，把该光盘放入光驱中，

#turbopkg

并选择ipchains，然后按OK就自动自动安装了。

如果你是下载ipchains安装包的话：

1）如果是rpm包：

#rpm–ivh*.rpm

2)如果是.tar.gz包

#tar xvfz*.tar.gz(先把包解开)

再到解开目录

#./configure

#make

#make install

这样就安装成功了。

2.启用ipchains

手工修改/proc/sys/net/ipv4/ipforward文件，将其内容置为1。

在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件

在/etc/rc.d/目录下的rc.local文件中加上下面这段代码：

if [-f/etc/rc.d/rc.ipfwadm ]; then/etc/rc.d/rc.ipfwadm; fi;

以后所有的ipchains的配置命令都将在rc.ipfwadm文件里修改。

3.配置ipchains（基本应用）

ipchains对机器的管理是通过对机器的ip地址作为标志的，因而首先得确保你的局域网的机器的ip地址已经配分配好，并且你对之相当熟悉。

Ipchains的配置规则一般是围绕着input、output、ipforward这三个规则进行的，其中input是指对内连接请求的过滤规则，output是指对外连接请求的过滤规则，ipforward是指对内部与外部通讯包的转发。Ipchains的命令格式一般是：

ipchains [ADC] ipchains规则 [ipchains选项]。

有关命令的详细用法请参考有关HOWTO文档。

现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机的IP地址为：192.168.1.1，假设目前防火墙是进行代理上网，拒绝所有的外部telnet。对内部用户访问外部站点进行限制、并授予一些机器特权可任意访问外部机器、拒绝内部某些机器访问Internet等。网段示意图为：

+--------------+

|内部网段| 192.168.1.1 ISDN、PSDN

|+------------|firewall|<===============>Internet

| 192.168.1.0|+--------+

+--------------+

配置ipchains防火墙规则一般有两种方式：

1）首先允许所有的包，然后在禁止有危险的包通过防火墙；

2）首先禁止所有的包，然后再根据所需要的服务允许特定的包通过防火墙。

相比较而言，第二种方式的做法更为安全。

下面是我的rc.ipfwadm的文件内容：

/sbin/depmod–a

/*自动加载所需模块，如果觉得这样有危险，需手动指定安装模块，可以如下面这一小段就是手动指定加载模块*/

#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_ftp

/*加载ip伪装的ftp模块*/

#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_irc

/*加载ip伪装的irc模块*/

#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_raudio

#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_user

#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_autofw

/sbin/modprobe-a-t/lib/modules/2.2.10/ipv4/ip_masq*

/*自动加载ip伪装的相关模块*/

ipchains–F

/*刷新所有的ipchains规则*/

ipchains-P forward DENY

/*拒绝转发所有的ip包*/

/*下面允许特定的包通过*/

/*开设权限比较高的主机*/

ipchains-A forward-s 192.168.1.10/32-j MASQ

/*允许内部的192.168.1.10主机不受限制访问。比如总经理*/

ipchains-A forward-s 192.168.1.12/32-j MASQ

/*允许内部的192.168.1.12主机不受限制访问。比如系统管理员，在依次添加*/

ipchains-A forward-s 192.168.1.41/32-j MASQ

/*for example linuxbird的主机地址：192.168.1.41*/

/*某些机器，因需要不能对外连接*/

ipchains-A forward-s 192.168.1.3/32-j DENY

/*此机器为内部文档专用机，不能访问外部*/

/*设置内部普通用户能访问的站点*/

ipchains-A forward-d 202.101.98.55/32-j MASQ# FJ-DNS

ipchains-A forward-d 202.101.0.133/32-j MASQ# FJ-DNS

/*这是上网的DNS服务器，本人用的是福州电信局的DNS*/

/*以下是普通用户能访问的站点，根据需要可以对其增删改*/

ipchains-A forward-d 202.101.98.50/32-j MASQ

/* public.fz.fj.cn*/

ipchains-A forward-d 202.101.98.60/32-j MASQ

/* pub5.fz.fj.cn*/

ipchains-A forward-d 202.96.44.14/24-j MASQ

/*freemail.263.net*/

ipchains-A forward-d 202.99.11.120/32-j MASQ

/*www.linuxaid.com.cn*/

ipchains-A forward-d 205.227.44.44/24-j MASQ

/* www.oracle.com*/

ipchains-A forward-d 205.227.44.46/32-j MASQ

/* lliance.oracle.com*/

#ipchains-A forward-d 205.227.44.237/32-j MASQ

/* support.oracle.com*/

ipchains-A forward-d 209.246.5.38/24-j MASQ

/* technet.oracle.com*/

ipchains-A forward-d 137.69.200.8/32-j MASQ

/* www.legato.com*/

ipchains-A forward-d 202.96.125.102/32-j MASQ

/*www.188.net*/

ipchains-A forward-d 207.105.83.51/32-j MASQ

/* www.borland.com*/

ipchains-A forward-d 207.46.131.30/24-j MASQ

/* www.microsoft.com*/

ipchains-A forward-d 207.46.130.30/24-j MASQ

/* www.microsoft.com*/

ipchains-A forward-d 204.146.81.99/32-j MASQ

/* www.ibm.com*/

ipchains-A forward-d 202.102.24.74/24-j MASQ

/* www.lodesoft.com*/

ipchains-A forward-d 210.77.34.109/32-j MASQ

/* www.csdn.net*/

ipchains-A forward-d 192.138.151.66/32-j MASQ

/* www.sybase.com*/

ipchains-A forward-d 202.102.26.1/32-j MASQ

/* www.nari-china.com*/

ipchains-A forward-d 202.102.26.51/32-j MASQ

/*www.aeps-info.com*/

ipchains-A forward-d 202.106.185.2/32-j MASQ

/* www.sohu.com*/

……