关于iptables防火墙的非军事区域的设置...很急，很急。。

120176286

请问再两台iptables中因该如何进行配置防火墙
允许外网用户访问web,ftp,mail服务器。但不允许访问到内网的服务器和客户机

内网用户能访问外网和内网中的web,ftp,mail服务器，但ftp,mail,web 服务器不能访问进内网的客户机

我

没本

假设你的iptables防火墙服务器外网IP地址是1.2.3.4
邮件服务器开了POP和SMTP服务。

2. iptables -t nat -A PREROUTING -d 1.2.3.4/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.3.20:80
4. iptables -t nat -A PREROUTING -d 1.2.3.4/32 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.3.21:21
6. iptables -t nat -A PREROUTING -d 1.2.3.4/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.3.22:25
8. iptables -t nat -A PREROUTING -d 1.2.3.4/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.3.22:110

复制代码

ftp,mail,web 服务器不能访问进内网的客户机。这个要求有点矛盾，你怎么知道访问请求是这几个程序发起的，而不是同台服务器上别的程序发起的呢？iptables可做不了这个，只能屏蔽这台服务器上的发起的对内网的连接请求。