实验案例：

公司使用一台运行RHEL5系统的服务器作为网关，分别连接三个网络，其中LAN1为普通员工电脑所在的局域网，LAN2为DNS缓存服务器所在的局域网。eth0通过10M光纤接入Internet。为了有效的管理网络环境及增强内部网络的安全性，需要配置iptables防火墙规则实现IP地址和端口的过滤控制。

网络拓扑如下：

需求描述：

入站控制：

1.允许Internet上的主机访问网关服务器的21、25、80、110、143端口。

2.允许IP地址为201.12.13.14的远程主机访问网关22端口，并记录访问日志（每15分钟记录一次）。

3.允许IP地址为192.168.1.5、MAC地址为00:0C:27:30:4E:5D的主机访问网关的22端口。

4.仅允许局域网主机（LAN1:192.168.1.0/24）访问3128端口的代理服务。

转发控制：允许LAN1的主机通过网关访问位于LAN2的DNS的服务器（192.168.2.2）。

其它任何非明确许可的数据包入站访问均予以丢弃；数据包出站访问均允许。

编写的iptables脚本如下：

• #!/bin/bash  
• #This is the firewall configuration  
•  
• iptables -t nat -F   
• iptables -F  
•  
• iptables -P INPUT DROP 
• iptables -P FORWARD DROP 
•  
• iptables -A INPUT -p tcp -m multiport –dport 21,25,80,110,143 -j ACCEPT  
•  
• iptables -A INPUT -p tcp –dport 22 -s 201.12.13.14 -j ACCEPT  
•  
• iptables -A INPUT -p tcp –dport 22 -m limit –limit 4/hour -j LOG  
•  
• iptables -A INPUT -p tcp –dport 22 -s 192.168.1.5 -m mac –mac-source 00:0C:27:30:4E:5D -j ACCEPT  
•  
• iptables -A INPUT -p tcp –dport 3128 -s 192.168.1.0/24 -j ACCEPT  
•  
• iptables -A FORWARD -p udp –dport 53 -s 192.168.1.0/24 -j ACCEPT  
• iptables -A FORWARD -p udp –sport 53 -d 192.168.1.0/24 -j ACCEPT  

  最后还要开启Linux网关服务器的路由转发功能：

  # vi /etc/sysctl.conf

  net . ipv4 .ip_forward = 1