目前环境如下:
内网网段:192.168.10.0/24;
网关:192.168.10.254(在大楼物业处);
因此现在在内部做一个自己的网关,在上面做iptables策略.
今后内网网络更换为192.168.9.0/24;网关为192.168.9.254
笔记如下:
1.配置网关服务器网卡信息:
复制代码 代码如下:
ifconfig eth0 192.168.10.222 //配置网卡0
ifconfig eth1 192.168.9.254 //配置网卡1
route add default gateway 192.168.10.254 //配置默认网关
2.利用iptables设置NAT
复制代码 代码如下:
iptables -t nat -a POSTROUTING -o eth0 -s 192.168.9.0/24 -j SNAT --to 192.168.10.222 //将9网段NAT为192.168.10.222出去
3.利用iptables做策略限制QQ与MSN
QQ服务器端口为:8000;客户端端口为:4000(开启第二个QQ时为4001,依次类推);均为UDP.
MSN端口数较多:1863为登陆所需要的端口以及3000-4000等等;MSN服务器为gateway.messenger.hotmail.com.
iptables -A FORWARD --protocol udp --dport 8000 -j REJECT //屏蔽QQ服务器
iptables -A FORWARD -d gateway.messenger.hotmail.com -j REJECT //屏蔽msn服务器
iptables -A FORWARD --protocol tcp --dport 1863 -j REJECT //屏蔽msn客户端端口
QQ的是source-port 4000,destination-port 8000
只需要在FORWARD里加入一条规则就可以
iptables -A FORWARD -i eth0 -p udp --dport 8000 -j DROP
这里的eth0是内网网卡.
要删了这条规则只需要输入:
iptables -D FORWARD 1
这里的1是指它的序号
附:
封杀MSN的方法:
复制代码 代码如下:
/sbin/iptables -I FORWARD -d gateway.messenger.hotmail.com -j DROP
/sbin/iptables -I FORWARD -p tcp --dport 1863 -j DROP
