关于iptables

hotboy1000 · 发表于 2004-1-9 17:14:36

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0]
:FORWARD ACCEPT [0]
:OUTPUT ACCEPT [0]
:RH-Lokkit-0-50-INPUT - [0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 23 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 202.102.2.141 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 202.102.13.141 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -j REJECT
COMMIT

在是我的iptables文件.

[0] -A POSTROUTING -s 192.168.20.18 -j SNAT --to 211.148.130.131

COMMIT
[0] -A INPUT -s 207.46.0.0/255.255.0.0 -j DROP

[0] -A INPUT -d 207.46.0.0/255.255.0.0 -j DROP

[0] -A INPUT -p tcp -m tcp --sport 5000 -j DROP

[0] -A INPUT -p udp -m udp --sport 5000 -j DROP

[0] -A OUTPUT -p tcp -m tcp --dport 5000 -j DROP

[0] -A OUTPUT -p udp -m udp --dport 5000 -j DROP

[0] -A INPUT -s 211.148.130.129 -i eth1 -p tcp -m tcp --dport 137:139 -j DROP

[0] -A INPUT -s 192.168.20.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 137:139 -j ACCEPT

[0] -A INPUT -s 211.148.130.128/255.255.255.240 -i eth1 -p tcp -m tcp --dport 137:139 -j ACCEPT

[0] -A INPUT -p tcp -m tcp --dport 137:139 -j DROP

上面是网上看到的配置.为什么格式是不同的?我现在只想作个代理,让另一台WIN通过这台LINUX上网.我应该怎么设置?是不是一定要求squid配合使用?还有,上面规则中,哪个IP是本地地址?其他的IP地址又都是什么意思?

hotboy1000 · 发表于 2004-1-10 18:55:48

怎么？没有人知道吗？我想在原来的iptables里加入一条规则，让另一台机器可以共享上网，应该怎么写？

hew · 发表于 2004-1-10 19:02:03

http://cmpp.linuxforum.net/NetSnake/

hotboy1000 · 发表于 2004-1-12 18:20:07

# Generated by iptables-save v1.2.6a on Mon Jan 12 16:27:08 2004
*mangle

REROUTING ACCEPT [63]
:INPUT ACCEPT [398]
:FORWARD ACCEPT [0]
:OUTPUT ACCEPT [8]

OSTROUTING ACCEPT [167]
COMMIT
# Completed on Mon Jan 12 16:27:08 2004
# Generated by iptables-save v1.2.6a on Mon Jan 12 16:27:08 2004
*filter
:INPUT DROP [3]
:FORWARD DROP [0]
:OUTPUT DROP [0]
:bad_packets - [0]
:bad_tcp_packets - [0]
:icmp_packets - [0]
:tcp_inbound - [0]
:tcp_outbound - [0]
:udp_inbound - [0]
:udp_outbound - [0]
-A INPUT -i lo -j ACCEPT
-A INPUT -j bad_packets
-A INPUT -d 224.0.0.1 -j DROP
-A INPUT -s 192.168.1.0/255.255.255.0 -i eth0 -j ACCEPT
-A INPUT -d 192.168.1.255 -i eth0 -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p tcp -j tcp_inbound
-A INPUT -i ppp0 -p udp -j udp_inbound
-A INPUT -i ppp0 -p icmp -j icmp_packets
-A INPUT -d 255.255.255.255 -j DROP
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "INPUT packet died: "
-A FORWARD -j bad_packets
-A FORWARD -i eth0 -p tcp -j tcp_outbound
-A FORWARD -i eth0 -p udp -j udp_outbound
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "FORWARD packet died: "
-A OUTPUT -p icmp -m state --state INVALID -j DROP
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 192.168.1.1 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "OUTPUT packet died: "
-A bad_packets -m state --state INVALID -j LOG --log-prefix "Invalid packet: "
-A bad_packets -m state --state INVALID -j DROP
-A bad_packets -p tcp -j bad_tcp_packets
-A bad_packets -j RETURN
-A bad_tcp_packets -i eth0 -p tcp -j RETURN
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn: "
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
-A bad_tcp_packets -p tcp -j RETURN
-A icmp_packets -p icmp -f -j LOG --log-prefix "ICMP Fragment: "
-A icmp_packets -p icmp -f -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_packets -p icmp -j RETURN
-A tcp_inbound -p tcp -j RETURN
-A tcp_outbound -p tcp -j ACCEPT
-A udp_inbound -p udp -m udp --dport 137 -j DROP
-A udp_inbound -p udp -m udp --dport 138 -j DROP
-A udp_inbound -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A udp_inbound -p udp -j RETURN
-A udp_outbound -p udp -j ACCEPT
COMMIT
# Completed on Mon Jan 12 16:27:08 2004
# Generated by iptables-save v1.2.6a on Mon Jan 12 16:27:08 2004
*nat

REROUTING ACCEPT [25]

OSTROUTING ACCEPT [3]
:OUTPUT ACCEPT [6]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Mon Jan 12 16:27:08 2004

这是我新的iptables,通过程序产生的.可为什么网络共享还是建立不起来呢?

viento · 发表于 2004-1-12 19:37:10

你按我的名字查看下我的文章。。。

公社里头有很多的，你没认真仔细看。。

laokan · 发表于 2004-1-12 20:25:04

最好看看公社的iptables的手册！
比较好哦！

hotboy1000 · 发表于 2004-1-12 23:54:20

[quote:d8db17d806="viento"]你按我的名字查看下我的文章。。。
公社里头有很多的，你没认真仔细看。。[/quote]

呵呵，那些文章我基本都看过了，也试过了，好象没通过，昨天搞了一个通宵了。嘿嘿，不过搜索你的帖子，发现你对一个叫“蓝宁”的MM大献殷勤哦，不知道这算不算是新闻啊，哈哈。

说说我的情况，我把/etc/init.d/iptables文件修改了。用的是国外的防火墙自动生成脚本。我的/etc/sysconig/iptables文件是由前面的那个文件自动生成的。

论坛的一些文章我都反复反复的看过了，特别是gogong大侠的经典文章，就是一个问题，内网的数据包总是不能被转发。

我那NAT那段有改过了，是按gugong的格式写的。几位大侠再看看，问题出在哪儿？
*nat

REROUTING ACCEPT [1]

OSTROUTING ACCEPT [0]
:OUTPUT ACCEPT [0]
-A PREROUTING -s 192.168.1.1 -p tcp -m tcp --dport 80 -j RETURN
-A PREROUTING -s 192.168.1.1 -p tcp -m tcp --dport 443 -j RETURN
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
-A POSTROUTING -o ppp0 -j MASQUERADE
总觉的再要加上一条把eth0的接受到的内网数据通过3128端口转发的。应该怎么写？放在哪儿？

我不是想解决问题，我有个自动拨号的小路由器的。我就是想搞清楚这个规则应该怎么写。

viento · 发表于 2004-1-13 23:23:24

http://www.linuxfans.org/nuke/modules.php?name=Forums&file=viewtopic&t=32929&highlight=

我的这篇看了？

hotboy1000 · 发表于 2004-1-14 02:08:33

/etc/init.d/iptables: line 139: unexpected EOF while looking for matching `"'
/etc/init.d/iptables: line 146: syntax error: unexpected end of file

hotboy1000 · 发表于 2004-1-14 02:25:00

看过你那个脚本写出来的iptables文件了,这部分设置和我的脚本所写出来的是一致的.
问题可能出在我网卡地址和掩码上.
我是用一台LINUX做主机,再通过这台机器来共享网络给XP
我的接设备的网卡是eth1,ip地址是192.168.0.1,默认网关192.168.0.255
接XP的网卡是eth0,ip地址是192.168.1.1,默认网关192.168.1.255
我设置的LOCAL_IFACE是eth0
不知道有没有哪儿设置错误了.
-A PREROUTING -s 192.168.1.1 -p tcp -m tcp --dport 80 -j RETURN
-A PREROUTING -s 192.168.1.1 -p tcp -m tcp --dport 443 -j RETURN
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
-A POSTROUTING -o ppp0 -j MASQUERADE

viento · 发表于 2004-1-14 18:52:26

1.我想，你先别做端口影射，直接做nat试试看。
出现问题了，要一步一步地试。

#动态ip使用
#
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr
#这里是动态ip实现nat共享必改之处

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE <---你添上 -t nat

2. 你的网络结构是什么？有hub或swicth吗？你的问题可能是出在这里。。。

hotboy1000 · 发表于 2004-1-14 21:23:52

用反跳线直接连的2台电脑.我也觉得问题就出在这里.

hotboy1000 · 发表于 2004-1-14 21:34:26

#
# POSTROUTING chain
#

$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
脚本里就已经写上去的了.

hotboy1000 · 发表于 2004-1-14 21:38:13

[root@linux root]# service iptables start
Loading kernel modules ...
net.ipv4.ip_forward = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.secure_redirects = 1
net.ipv4.conf.all.log_martians = 1
Flushing Tables ...
Create and populate custom rule chains ...
Process INPUT chain ...
Process FORWARD chain ...
Process OUTPUT chain ...
Load rules for nat table ...
Load rules for mangle table ...
我的脚本文件运行后的提示,没有报错.

viento · 发表于 2004-1-15 21:47:02

[quote:7f2348db7e="hotboy1000"]用反跳线直接连的2台电脑.我也觉得问题就出在这里.[/quote]

我的脚本是给hub或switch连接的局域网的。。。。。
你的问题已不是iptables的问题了。。。。。。
仔细阅读网络基础知识吧

		自动登录	找回密码
密码			注册