linux 转发开启(linux编译安装软件)

老铁们，大家好，相信还有很多朋友对于linux 转发开启和linux编译安装软件的相关问题不太懂，没关系，今天就由我来为大家分享分享linux 转发开启以及linux编译安装软件的问题，文章篇幅可能偏长，希望可以帮助到大家，下面一起来看看吧！

linux配置防火墙详细步骤

通过本教程操作，请确认您能使用linux本机。如果您使用的是ssh远程，而又不能直接操作本机，那么建议您慎重，慎重，再慎重！

我们来配置一个filter表的防火墙.

(1)查看本机关于IPTABLES的设置情况

复制代码

   

代码如下:

[root@tp~]# iptables-L-n

   Chain INPUT(policy ACCEPT)

   target prot opt source destination/ppChain FORWARD(policy ACCEPT)

   target prot opt source destination/ppChain OUTPUT(policy ACCEPT)

   target prot opt source destination/ppChain RH-Firewall-1-INPUT(0 references)

   target prot opt source destination

   ACCEPT all-- 0.0.0.0/0 0.0.0.0/0

   ACCEPT icmp-- 0.0.0.0/0 0.0.0.0/0 icmp type 255

   ACCEPT esp-- 0.0.0.0/0 0.0.0.0/0

   ACCEPTah--0.0.0.0/00.0.0.0/0

   ACCEPTudp--0.0.0.0/0224.0.0.251udpdpt:5353

   ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:631

   ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED,ESTABLISHED

   ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:22

   ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:80

   ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:25

   REJECTall--0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibited

可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.

   如果你在安装linux时没有选择启动防火墙,是这样的

复制代码

   

代码如下:

[root@tp~]# iptables-L-n

   Chain INPUT(policy ACCEPT)

   target prot opt source destination/ppChain FORWARD(policy ACCEPT)

   target prot opt source destination/ppChain OUTPUT(policy ACCEPT)

   target prot opt source destination

什么规则都没有.

(2)清除原有规则.

不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.

复制代码

   

代码如下:

[root@tp~]# iptables-F清除预设表filter中的所有规则链的规则

   [root@tp~]# iptables-X清除预设表filter中使用者自定链中的规则

我们在来看一下

复制代码

   

代码如下:

[root@tp~]# iptables-L-n

   Chain INPUT(policy ACCEPT)

   target prot opt source destination/ppChain FORWARD(policy ACCEPT)

   target prot opt source destination/ppChain OUTPUT(policy ACCEPT)

   target prot opt source destination

什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.

复制代码

   

代码如下:

[root@tp~]#/etc/rc.d/init.d/iptables save

这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.

复制代码

   

代码如下:

[root@tp~]# service iptables restart

现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧

(3)设定预设规则

复制代码

   

代码如下:

[root@tp~]# iptables-P INPUT DROP

   [root@tp~]# iptables-P OUTPUT ACCEPT

   [root@tp~]# iptables-P FORWARD DROP

上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包

而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.

可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.

这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.

注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.

怎么办,去本机操作呗!

(4)添加规则.

首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链

为了能采用远程SSH登陆,我们要开启22端口.

复制代码

   

代码如下:

[root@tp~]# iptables-A INPUT-p tcp--dport 22-j ACCEPT

   [root@tp~]# iptables-A OUTPUT-p tcp--sport 22-j ACCEPT

(注:这个规则,如果你把OUTPUT设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.

其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:

复制代码

   

代码如下:

[root@tp~]# iptables-A OUTPUT-p tcp--sport 80-j ACCEPT

,其他同理.

如果做了WEB服务器,开启80端口.

复制代码

   

代码如下:

[root@tp~]# iptables-A INPUT-p tcp--dport 80-j ACCEPT

如果做了邮件服务器,开启25,110端口.

复制代码

   

代码如下:

[root@tp~]# iptables-A INPUT-p tcp--dport 110-j ACCEPT

   [root@tp~]# iptables-A INPUT-p tcp--dport 25-j ACCEPT

如果做了FTP服务器,开启21端口

复制代码

   

代码如下:

[root@tp~]# iptables-A INPUT-p tcp--dport 21-j ACCEPT

   [root@tp~]# iptables-A INPUT-p tcp--dport 21-j ACCEPT

如果做了DNS服务器,开启53端口

复制代码

   

代码如下:

[root@tp~]# iptables-A INPUT-p tcp--dport 53-j ACCEPT

如果你还做了其他的服务器,需要开启哪个端口,照写就行了.

上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP

允许icmp包通过,也就是允许ping,

复制代码

   

代码如下:

[root@tp~]# iptables-A OUTPUT-p icmp-j ACCEPT(OUTPUT设置成DROP的话)

   [root@tp~]# iptables-A INPUT-p icmp-j ACCEPT(INPUT设置成DROP的话)

允许loopback!(不然会导致DNS无法正常关闭等问题)

复制代码

   

代码如下:

IPTABLES-A INPUT-i lo-p all-j ACCEPT(如果是INPUT DROP)

   IPTABLES-A OUTPUT-o lo-p all-j ACCEPT(如果是OUTPUT DROP)

下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.

减少不安全的端口连接

复制代码

   

代码如下:

[root@tp~]# iptables-A OUTPUT-p tcp--sport 31337-j DROP

   [root@tp~]# iptables-A OUTPUT-p tcp--dport 31337-j DROP

有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会

还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139（smb）,2049(NFS)端口也应被禁止,我在这写的也不全,有兴趣的朋友应该去查一下相关资料.

当然出入更安全的考虑你也可以包OUTPUT链设置成DROP,那你添加的规则就多一些,就像上边添加

允许SSH登陆一样.照着写就行了.

下面写一下更加细致的规则,就是限制到某台机器

如:我们只允许192.168.0.3的机器进行SSH连接

复制代码

   

代码如下:

[root@tp~]# iptables-A INPUT-s 192.168.0.3-p tcp--dport 22-j ACCEPT

如果要允许,或限制一段IP地址可用 192.168.0.0/24表示192.168.0.1-255端的所有IP.

24表示子网掩码数.但要记得把/etc/sysconfig/iptables里的这一行删了.

-A INPUT-p tcp-m tcp--dport 22-j ACCEPT因为它表示所有地址都可以登陆.

或采用命令方式:

复制代码

   

代码如下:

[root@tp~]# iptables-D INPUT-p tcp--dport 22-j ACCEPT

然后保存,我再说一边,反是采用命令的方式,只在当时生效,如果想要重起后也起作用,那就要保存.写入到/etc/sysconfig/iptables文件里.

复制代码

   

代码如下:

[root@tp~]#/etc/rc.d/init.d/iptables save

这样写!192.168.0.3表示除了192.168.0.3的ip地址

其他的规则连接也一样这么设置.

在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.

开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)

复制代码

   

代码如下:

[root@tp~]# iptables-A FORWARD-i eth0-o eth1-m state--state RELATED,ESTABLISHED-j ACCEPT

   [root@tp~]# iptables-A FORWARD-i eth1-o eh0-j ACCEPT

丢弃坏的TCP包

复制代码

   

代码如下:

[root@tp~]#iptables-A FORWARD-p TCP!--syn-m state--state NEW-j DROP

处理IP碎片数量,防止攻击,允许每秒100个

复制代码

   

代码如下:

[root@tp~]#iptables-A FORWARD-f-m limit--limit 100/s--limit-burst 100-j ACCEPT

设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.

复制代码

   

代码如下:

[root@tp~]#iptables-A FORWARD-p icmp-m limit--limit 1/s--limit-burst 10-j ACCEPT

我在前面只所以允许ICMP包通过,就是因为我在这里有限制.

二,配置一个NAT表放火墙

1,查看本机关于NAT的设置情况

复制代码

   

代码如下:

[root@tp rc.d]# iptables-t nat-L

   Chain PREROUTING(policy ACCEPT)

   target prot opt source destination

   Chain POSTROUTING(policy ACCEPT)

   target prot opt source destination

   SNAT all-- 192.168.0.0/24 anywhere to:211.101.46.235

   Chain OUTPUT(policy ACCEPT)

   target prot opt source destination

我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章

当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的

如果你想清除,命令是

复制代码

   

代码如下:

[root@tp~]# iptables-F-t nat

   [root@tp~]# iptables-X-t nat

   [root@tp~]# iptables-Z-t nat

2,添加规则

添加基本的NAT地址转换,(关于如何配置NAT可以看我的另一篇文章),

添加规则,我们只添加DROP链.因为默认链全是ACCEPT.

防止外网用内网IP欺骗

复制代码

   

代码如下:

[root@tp sysconfig]# iptables-t nat-A PREROUTING-i eth0-s 10.0.0.0/8-j DROP

   [root@tp sysconfig]# iptables-t nat-A PREROUTING-i eth0-s 172.16.0.0/12-j DROP

   [root@tp sysconfig]# iptables-t nat-A PREROUTING-i eth0-s 192.168.0.0/16-j DROP

如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)

例：

禁止与211.101.46.253的所有连接

复制代码

   

代码如下:

[root@tp~]# iptables-t nat-A PREROUTING-d 211.101.46.253-j DROP

禁用FTP(21)端口

复制代码

   

代码如下:

[root@tp~]# iptables-t nat-A PREROUTING-p tcp--dport 21-j DROP

这样写范围太大了,我们可以更精确的定义.

复制代码

   

代码如下:

[root@tp~]# iptables-t nat-A PREROUTING-p tcp--dport 21-d 211.101.46.253-j DROP

这样只禁用211.101.46.253地址的FTP连接,其他连接还可以.如web(80端口)连接.

按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.

最后：

drop非法连接

复制代码

   

代码如下:

[root@tp~]# iptables-A INPUT-m state--state INVALID-j DROP

   [root@tp~]# iptables-A OUTPUT-m state--state INVALID-j DROP

   [root@tp~]# iptables-A FORWARD-m state--state INVALID-j DROP

允许所有已经建立的和相关的连接

复制代码

   

代码如下:

[root@tp~]# iptables-A INPUT-m state--state ESTABLISHED,RELATED-j ACCEPT

   [root@tp~]# iptables-A OUTPUT-m state--state ESTABLISHED,RELATED-j ACCEPT

   [root@tp~]#/etc/rc.d/init.d/iptables save

这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用．

复制代码

   

代码如下:

[root@tp~]# service iptables restart

别忘了保存，不行就写一部保存一次．你可以一边保存，一边做实验，看看是否达到你的要求，

上面的所有规则我都试过，没有问题

Linux下的SSH端口转发配置方法

通常情况下两个不同的网络之间总会开放某一些特定的端口用于通讯使用，而SSH所使用的22端口通常就在开放之列。基于SSH的端口转发就是利用SSH作为中间的代理，达到绕过两个网络之间的限制，顺利的进行任意的端口的访问。

端口转发可以分为三种，正向端口转发，反向端口转发和动态端口转发。

为了演示这三种端口转发方式的用法我们先假设存在有2个网域Office和Prod，在网域Office中有两个主机A和B，在网域Prod中两个主机C和D，这两个网域之间除了主机A能够访问C的22端口之外，其他所有的访问都被网络规则所禁止，也就是说A机器无法访问C的除22之外的所有其他端口，也无法访问到D主机；而主机C和D根本就无法访问A或者B中的任意一台主机。

top任务一：正向端口转发

现在开始我们的第一个任务：假设主机D上面安装有数据库服务，监听的端口是8888，如果我想通过Office域中的主机A直接访问D主机中的数据库那该怎么办呢？这就要用到SSH的正向端口功能了。在这先要说明一下，在Linux中，所有的端口转发的操作都可以通过使用自带的工具ssh来完成。

完成任务一的命令很简单，如下：

复制代码

   

代码如下:

ssh-L 8000:host-d.prod.mycompany.com:8888 oracle@host-c.prod.mycompany.com-N

现在解释一下上面的命令：

参数-L

表示在本地开启监听的端口，后面紧跟的参数格式为::，表示将本地的8000端口转发到远程主机D的8888端口。

   orainst@host-c.prod.mycompany.com

   这个参数指定要使用ssh登录的主机以及登录的用户名，这里使用的主机和前一个参数中的主机必须是在同一个网域当中，并且能相互访问，当然也可以是同一个机器。

参数-N

不执行远程的命令。这个参数在这里是可选的。

   现在在主机A上面运行上面的命令之后输入正确的密码，然后我们先登录主机A查看一下当前端口的状态：

复制代码

   

代码如下:

oracle@host-a[orcl]:~$ netstat-natp|grep 8000

   (Not all processes could be identified, non-owned process info

   will not be shown, you would have to be root to see it all.)

   tcp 0 0 127.0.0.1:8000 0.0.0.0:* LISTEN 3767/ssh

   tcp 0 0::1:8000:::* LISTEN 3767/ssh

可以看到在主机A上已经存在8000端口准备随时接受连接了，不过要注意的是这里监听的网络是127.0.0.1(::1)，也就是说这种连接仅限于本地操作。

接下来就是配置下TNSNAMES了，配置如下：

复制代码

   

代码如下:

orcl=

   (DESCRIPTION=

   (ENABLE=BROKEN)

   (ADDRESS_LIST=

   (FAILOVER=ON)

   (LOAD_BALANCE=YES)

   (ADDRESS=(PROTOCOL=TCP)(HOST=localhost)(PORT=8000))

   )

   (CONNECT_DATA=

   (SID=orcl)

   )

   )

然后tnsping测试一下：

复制代码

   

代码如下:

oracle@host-a[orcl]:~$ tnsping orcl

TNS Ping Utility for Linux: Version 11.1.0.7.0- Production on 05-JUL-2010 09:13:25

Copyright(c) 1997, 2008, Oracle. All rights reserved.

Used parameter files:

Used TNSNAMES adapter to resolve the alias

   Attempting to contact(DESCRIPTION=(ENABLE=BROKEN)(ADDRESS_LIST=(FAILOVER=ON)(LOAD_BALANCE=YES)(ADDRESS=(PROTOCOL=TCP)(HOST=localhost)(PORT=8000)))(CONNECT_DATA=(SID=orcl)))

   OK(340 msec)

大功告成。

top任务二：反向端口转发

因为网域Prod不能以任何的方式访问网域Office，假设这两个网域所处的物理位置完全的不同，那当那一天处于网域Prod的时候又想操作处于网域Office中的主机A，那怎么办呢？这就是要用到反向端口转发的时候了。

反向端口转发的基本思想就是从主机A建立到主机C的ssh连接的同时在主机C上打开一个端口可以反向连接到主机B上面的某一个端口，当然从主机控制上面来说连接到主机B的22(ssh端口)是最实惠的了，现在要做的就是在主机A上面运行如下的命令：

复制代码

   

代码如下:

ssh-R 8888:localhosthost-b.office.mycompany.com:22 oracle@host-c.prod.mycompany.com-N

同样的，先解释下上面的命令：

参数-R

创建一个反向的端口转发，后面紧跟的参数格式为::，这里监听的端口是8888，反向连接要到C主机原来根本无法访问的主机B的22端口。

   oracle@host-c.prod.mycompany.com

   这个参数指定要使用ssh登录的主机以及登录的用户名，这里使用的主机和前一个参数中的主机必须是在同一个网域当中，并且能相互访问，当然也可以是同一个机器。

参数-N

不执行远程的命令。这个参数在这里是可选的。

   在主机A上面执行上面的命令成功之后就可以登录到主机C检查一下效果了，首先是检查8888端口的开发状态：

复制代码

   

代码如下:

oracle@host-c:~$ netstat-natp|grep 8888

   (No info could be read for"-p": geteuid()=1001 but you should be root.)

   tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN-

   tcp6 0 0::1:8888:::* LISTEN-

然后就是测试下这个端口的可用性，执行如下的命令：

复制代码

   

代码如下:

oracle@host-c:~$ ssh-p 8888 oracle@localhost

   Password:

   Last login: Mon Jul 5 02:34:50 2010 from 172.24.43.103

oracle@host-b.office$ hostname

   host-b.office.mycompany.com

   oracle@host-b.office$

至此现在已经成功的使用唯一开放的ssh端口建立了一个本来是完全不可能的连接。这种方法是非常有用的，具体在什么时候用就靠大家的发挥了。

top任务三：动态端口转发

动态端口转发实际上是建立一个ssh加密的SOCKS4/5代理通道，任何支持SOCKS4/5协议的程序都可以使用这个加密的通道来进行代理访问，现在这种方法最常用的地方就是翻墙了，使用的方法也很简单，命令如下：

复制代码

   

代码如下:

ssh-D 8888 username@proxyhost.mycompany.com-N

命令解释：

参数-D

建立一个动态的SOCKS4/5的代理通道，紧接着的是本地监听的端口号。

   username@proxyhost.mycompany.com

   这个参数指定要使用ssh登录的主机以及登录的用户名，这里使用的主机和前一个参数中的主机必须是在同一个网域当中，并且能相互访问，当然也可以是同一个机器。

参数-N

不执行远程的命令。这个参数在这里是可选的。

   因为这种方法对于办公方面没有什么帮助，所以也就不再多说。

延伸阅读

       SSH Tutorial for Linux           Secure Shell           Port forwarding   

开启Linux系统路由转发功能实现多网段电脑共享上网

目前，Linux的主要应用在服务器领域，但是它的许多功能还没有被充分挖掘出来，比如，我们通过简单设置，就可以让Linux变成一台出色的路由器。本文介绍如何利用Linux系统的路由功能，实现多网段电脑共享上网方法。

一、Linux系统开启IP转发功能

Linux系统要达到路由器功能，首先得打开Linux系统内核中的IP转发功能。我们可以通过以下命令来查看是否开启。less/proc/sys/net/ipv4/ip_forward该文件内容为0，表示禁止数据包转发，1表示允许，将其修改为1。可使用命令echo"1">/proc/sys/net/ipv4/ip_forward来启用IP转发路由功能。

但这种方式不能长期有效，只能保证当次有效，如果执行重启系统操作，那么又得重新执行命令。因此，为了保证系统路由功能永久有效，用vi编辑器打开vi/etc/sysctl.conf配置文件，将net.ipv4.ip_forward= 0修改为1，保存后退出。这样，每次重启系统都不用重新设置内核IP转发了。

二、Linux系统实现路由功能，共享上网

在LINUX系统下实现路由功能，两种方法来实现，一种是通过IPTABLES工具的NAT转发功能，一种是使用IPROUTER2工具集中的IP ROUTE命令子集来实现。这两种方法各有优缺点，使用哪种方法，主要看你所在的网络使用哪种方法连接互联网。

IPTABLES工具适合动态IP地址以及固定公网IP地址方式，同时，还提供了网络地址转换功能，此功能不仅能使使用私有IP地址的内网PC连接上互联网，而且还提供外网能过DNAT功能访问处于内网中的各种网络服务，以用隐藏内容IP网络段，增加了安全性。IP ROUTE工具同样适应与IPTABELS相同的两种上网方式，但不能提供NAT功能。

不过，有许多特殊的网络路由功能，是通过这两个工具共同合作的才能实现的，例如，将要讲到的策略路由、负载均衡、多WAN出口路由等。因此，笔者在此分别列出这个工具实现路由功能的命令内容，其后，在介绍如何通过这两个工具合作，完成更加高级的功能。

1、IPTABLES工具的NAT方式开启LINUX路由功能，其通过动态拔号方式连接互联网的命令如下所示：

＃ iptables-t nat-A POSTROUTING-d 192.168.1.0/24-s 0/0-o ppp0-j MASQUERD

其中，ppp0是你拔号网络接口名称，在这之前，需要设置好与拔号相关的内容，我们可以通过编辑/etc/sysconfig/network-scripts/ifcfg_ppp0配置文件来实现该功能。

通过固定公网IP地址方式连接互联的实现方法如下：

＃ iptables-t nat-A POSTROUTING-s 192.168.1.0/24-j SNAT--to-source 202.103.224.58

其中，这个固定公网IP地址是由当地ISP分配给你的，在这也是由笔者自行假设的，具体的IP地址得根据你所在ISP所在地来决定。

2、通过IP ROUTE工具来实现Linux系统的路由功能

通过动态拔号上网方式连接互联网的命令如下所示产：

# ip route add via ppp0 dev eth0

通过固定公网IP连接互联网的命令如下所示：

# ip route add via 202.103.224.58 dev eth0

经过以上两种方法中的任何一种的设置，我们的LINUX系统就具有路由功能了。这样，所处在局域网内部的PC都能够通过这台LINUX路由器共享上网了，但前提条件是要设置这些局域网中的PC的IP地址为此IP地址段中的任何一个，但不能相同，192.168.1.2-192.168.1.254，同时，设置它们的网关地址全部为192.168.1.1，这是LINUX路由器中连接局域网网卡的IP地址。

由于我们设置的局域网中没有使用DHCP服务器，在实现上网的过程中，所有的计算机都需要有用户手工设置IP地址。

总结

利用Linux系统的路由功能来实现共享上网，实现方法比较简单，最重要的是这种实现方法不仅可以减少IP资源的占用，而且Linux对硬件的要求比较低，不像windows系统那样对硬件有很高的要求。