QQ登录

只需一步,快速开始

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2483|回复: 2

iptables -m state的疑问

[复制链接]
发表于 2010-1-26 19:54:09 | 显示全部楼层 |阅读模式
iptables -F
iptables -F -t nat

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
........
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --sport 80 -j ACCEPT
#限制只有80能通信
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
#我觉得上面这句加上以后对端口的限制全部失效,不加网页基本不能打开,哪位兄弟能给解释一下,谢谢。
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j ACCEPT

[ 本帖最后由 lxjhhit 于 2010-1-27 09:56 编辑 ]
发表于 2010-1-26 20:50:30 | 显示全部楼层
没弄过,不过我记得 iptables 的规则是前面权限大于后面,这样如果符合前面的设定,那么这个通信就会被前面的条件设置而去处理,之后 iptebles 后面的设定就不用执行了。
回复

使用道具 举报

发表于 2010-2-15 16:27:58 | 显示全部楼层
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --sport 80 -j ACCEPT
#限制只有80能通信
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

我的理解是不是想发布内网的一台WEB服务器呀?如果是这样的可以在PREROUTING链里来做iptables -t nat -A PREROUTING -p tcp --dport  -j DNAT --to ip 也可以这样
iptables -t nat -A PREROUTING -p tcp --dport --syn -m state --state ESTABLISHED,NEW -j DNAT --to ip
也就是把规则全写在一条上面即可以了!
NEW:是TCP连接中的第1个包在/proc/net/ip_conntrack中有记载的
ESTABLISHED:则是已完成TCP三次握手的包
RELATED:是关联的包如FTP中用得到,此处不用。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

GMT+8, 2024-11-2 00:23 , Processed in 0.056199 second(s), 16 queries .

© 2021 Powered by Discuz! X3.5.

快速回复 返回顶部 返回列表