iptables:求解怎样让某节点只能上MSN,其余都不让?

samwang · 发表于 2005-5-23 23:34:49

iptables v1.2.8
我尝试的方法一：
FORWARD链先定义为ACCEPT，然后执行：
iptables -A FORWARD -m mac --mac-source 00.11.43.56.09.85 -j DROP
iptables -A FORWARD -p tcp --dport 1863 -m mac --mac-source 00.11.43.56.09.85 -j ACCEPT
此时iptables -L FORWARD结果为：
Chain FORWARD (policy ACCEPT)
target    prot opt source             destination
ACCEPT    all  -f  anywhere          anywhere          limit: avg 100/sec burst 100
ACCEPT    icmp --  anywhere          anywhere          limit: avg 1/sec burst 10
ACCEPT    tcp  --  anywhere          anywhere          tcp spt:1723
ACCEPT    tcp  --  anywhere          anywhere          tcp dpt:1723
DROP    all  --  anywhere          anywhere          MAC AA.BB.CC.DD.EE.FF
ACCEPT    tcp  --  anywhere          anywhere          tcp dpt:1863 MAC AA.BB.CC.DD.EE.FF

我尝试的方法二：
FORWARD链先定义为ACCEPT，然后执行：
iptables -A FORWARD -p tcp --dport 1:1862 -m mac --mac-source AA.BB.CC.DD.EE.FF -j DROP
iptables -A FORWARD -p tcp --dport 1864:60200 -m mac --mac-source AA.BB.CC.DD.EE.FF -j DROP
iptables -A FORWARD -p tcp --dport 1863 -m mac --mac-source AA.BB.CC.DD.EE.FF -j ACCEPT
此时iptables -L FORWARD结果为：
Chain FORWARD (policy ACCEPT)
target    prot opt source             destination
ACCEPT    all  -f  anywhere          anywhere          limit: avg 100/sec burst 100
ACCEPT    icmp --  anywhere          anywhere          limit: avg 1/sec burst 10
ACCEPT    tcp  --  anywhere          anywhere          tcp spt:1723
ACCEPT    tcp  --  anywhere          anywhere          tcp dpt:1723
DROP    tcp  --  anywhere          anywhere          tcp dpts:tcpmux:1862 MAC AA.BB.CC.DD.EE.FF
DROP    tcp  --  anywhere          anywhere          tcp dpts:1864:60200 MAC AA.BB.CC.DD.EE.FF
ACCEPT    tcp  --  anywhere          anywhere          tcp dpt:1863 MAC AA.BB.CC.DD.EE.FF

以上两种方法AA.BB.CC.DD.EE.FF完全不能上网
为什么达不到目的呢？要达到目的只跟FORWARD链有关吧？跟INPUT,OUTPUT没有关吧？

请教请教！

samwang · 发表于 2005-5-24 11:53:22

顶！没有人回答我么？

samwang · 发表于 2005-5-24 23:53:52

再顶!帮帮我呀

samwang · 发表于 2005-5-27 19:09:01

就没有人能帮帮我么?!

dannycat · 发表于 2005-5-27 22:07:12

就你的方法一来说，第一条规则就已经把该主机拒之网外了。

如果仅有这么几条规则的话，方法二看起来似乎没什么问题，虽然有点罗嗦。

不过楼主下面给出的实际规则里竟然出现了 burst ，那就是不只这几条FORWARD规则了？

至于 INPUT 和 OUTPUT 链与 FORWARD 链的关系，还是建议你好好去读 iptables 指南。

		自动登录	找回密码
密码			注册