QQ登录

只需一步,快速开始

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1088|回复: 4

iptables中表的关系没搞太明白

[复制链接]
发表于 2006-5-3 14:44:09 | 显示全部楼层 |阅读模式
防火墙内部ip192.168.1.1公网是ppp括号自动获得
有一台192.168.1.3做DMZ

做如下规则:
#DMZ与外部公网
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.3 -p tcp ! --syn -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -d 192.168.1.3 -j ACCEPT

对于DMZ与公网之间的规则是不是这两条就可以了?还要不要在filter表里对INPUT和FORWARD链进行操作?另外,对于DMZ出去的数据需不需要进行IP伪装?
偶是个新手,请大侠指点迷津!
发表于 2006-5-4 10:59:35 | 显示全部楼层
你多说些条件,太笼统了!
内网要出去要做NAT,SNAT
同时你要拿内网电脑做服务器同时要做DNAT。
INPUT是进入你计算机的数据包,FORWARD是要你计算机转发的数据包。
回复

使用道具 举报

 楼主| 发表于 2006-5-4 13:11:02 | 显示全部楼层
回楼上的,我写的只是对DMZ机器的相关配置(没有写内网其它机器相关的),我不太明白的是,通过nat表的数据包还会经过filter表吗???

内网的一个IP做DMZ的话,与普通端口映射的差别是不是只是多了两条不允许它访问内网和外网的规则?(不知道这样表达清楚否)
回复

使用道具 举报

发表于 2006-5-6 11:59:55 | 显示全部楼层
回复楼上:
依我所了解的回答阁下,不知道是否正确。
数据包最后经过NAT的时间是数据包将要发出计算机的时候,依我所知,应该不再经过FILTER。在计算机内会形成一个像路由器的路由列表一样的数据,把出去的IP的端口,以及内网的IP 记录下来,以等待回来的数据包,再把IP转换为内网IP ,实现IP地址内外的交换。
如有问题请回复!
至于内网IP做DMZ,我没有做过实验,我想应该没有什么规则,但如果外网访问,要做PREROUTING。对不起了!
回复

使用道具 举报

 楼主| 发表于 2006-5-6 14:10:34 | 显示全部楼层
谢谢,搞定了!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

GMT+8, 2024-11-2 18:30 , Processed in 0.040168 second(s), 16 queries .

© 2021 Powered by Discuz! X3.5.

快速回复 返回顶部 返回列表