CentOS设置防火墙只允许内网用户访问服务器

用户环境是一个局域网,adsl连接internet,有10多台pc,1台服务器.

这台服务器安装的是CentOS5.8,主要运行一个特殊软件,工程人员在各自pc上用XManager登录服务器使用该软件,另外开放ftp功能以便传递工程文件.

现在用户的要求是服务器需要与internet隔离,以保护数据,但不能影响其他pc正常上网,也不能影响其他pc访问该服务器

思路: 用centos自带的iptables解决,对INPUT,OUTPUT链路,只允许内网网段的包通过.

于是有下面的iptables:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
:RH-Firewall-1-OUTPUT - [0:0]

-A INPUT -s 192.168.1.0/24 -j RH-Firewall-1-INPUT
-A INPUT -j REJECT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A OUTPUT -d 192.168.1.0/24 -j RH-Firewall-1-OUTPUT
-A OUTPUT -j REJECT
-A RH-Firewall-1-OUTPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -j ACCEPT
-A RH-Firewall-1-OUTPUT -j ACCEPT
COMMIT

重启防火墙后, 发现访问服务器时,登录过程非常缓慢,但登录上后,访问速度还是很快的, 不知问题在哪里,到Linux/CentOS群里吼了一声, 有朋友热心指出应该使用状态匹配扩展,

于是加上-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
, 问题解决.

但在系统重启时候,又遇到问题,系统卡在防火墙启动位置了,原来linux启动时候,有很多自检,这时会有很多本机网络通信,而本机地址是127.0.0.1, 不符合192.168.1.0/24范围条件,遭到拒绝,导致系统卡住.应该加上-A INPUT -s 127.0.0.1 -j ACCEPT和-A OUTPUT -d 127.0.0.1 -j ACCEPT,

这样,一个符合用户要求的防火墙就设置好了,下面是完整的iptables

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
:RH-Firewall-1-OUTPUT - [0:0]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -s 192.168.1.0/24 -j RH-Firewall-1-INPUT
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -j REJECT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A OUTPUT -d 192.168.1.0/24 -j RH-Firewall-1-OUTPUT
-A OUTPUT -d 127.0.0.1 -j ACCEPT
-A OUTPUT -j REJECT
-A RH-Firewall-1-OUTPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -j ACCEPT
-A RH-Firewall-1-OUTPUT -j ACCEPT
COMMIT

感谢"风雪","KENNETH"的热心帮助