设为首页收藏本站

LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
LinuxSir.cn,穿越时空的Linuxsir!»论坛 运维技术 —— LinuxSir.cn 网络技术\网络安全讨论 谁能帮我分析一下我的Iptables规则(启用之后,本机不能访 ...
返回列表 发新帖
查看: 1120|回复: 4

谁能帮我分析一下我的Iptables规则(启用之后,本机不能访问任何地方).

[复制链接]
levent
发表于 2004-12-29 18:23:57 | 显示全部楼层 |阅读模式
以下是我的网关上的iptables配置文件,大家帮忙分析一下.多谢了!

  2. *filter
  3. :FORWARD ACCEPT [0:0]
  4. :INPUT ACCEPT [0:0]
  5. :OUTPUT ACCEPT [0:0]
  6. # Allow ssh port 22
  7. -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
  8. # Accept Inside network webmin management
  9. -A INPUT -p tcp -m tcp -s 192.168.88.0/24 --dport 10000 -j ACCEPT
  10. # Accept MRTG web IMG
  11. -A INPUT -p tcp -m tcp -s 192.168.0.0/16 --dport 80 -j ACCEPT
  12. # accept tcp port 5900
  13. -A INPUT -p tcp -m tcp -i ppp0 --dport 5900 -j ACCEPT
  14. # Accept 192.168.88.52 Admin
  15. -A INPUT -s 192.168.88.52/32 -i eth1 -j ACCEPT
  16. # accept tcp port 5800
  17. -A INPUT -p tcp -m tcp -i ppp0 --dport 5800 -j ACCEPT
  18. # localhost
  19. -A INPUT -i lo -j ACCEPT
  20. # drop 135,145,445
  21. -A FORWARD -p tcp -m tcp -m multiport -d 192.168.100.0/24 -j DROP --dports 135,139,445
  22. -A FORWARD -p tcp -m tcp -d 192.168.88.253/32 -j ACCEPT
  23. # allow server  file share
  24. -A FORWARD -s 192.168.88.188 -j ACCEPT
  25. -A FORWARD -s 192.168.88.198 -j ACCEPT
  26. -A FORWARD -s 192.168.88.199 -j ACCEPT
  27. -A FORWARD -s 192.168.88.52 -j ACCEPT
  28. -A FORWARD -s 192.168.1.20 -j ACCEPT
  29. -A FORWARD -s 192.168.10.20 -j ACCEPT
  30. -A FORWARD -s 192.168.88.253 -j ACCEPT
  31. -A FORWARD -s 192.168.1.50 -j ACCEPT
  32. -A FORWARD -s 192.168.88.30 -j ACCEPT
  33. #drop other microsoft file-share
  34. -A FORWARD -p tcp -m tcp -m multiport -d 192.168.88.0/24 -j DROP --dports 135,136,137,138,139,445
  35. -A FORWARD -p udp -m udp -m multiport -d 192.168.1.0/24 -j DROP --dports 135,136,137,138,139,445
  36. -A FORWARD -p tcp -m tcp -m multiport -d 192.168.1.0/24 -j DROP --dports 135,136,137,138,139,445,5190
  37. -A FORWARD -p tcp -m tcp -m multiport -d 192.168.10.0/24 -j DROP --dports 135,136,137,138,139,445
  38. # Drop any
  39. -A INPUT -j DROP
  40. # allow localhost access any
  41. -A OUTPUT -o lo -j ACCEPT
  42. COMMIT
  43. # Generated by webmin
  44. *mangle
  45. :FORWARD ACCEPT [0:0]
  46. :INPUT ACCEPT [0:0]
  47. :OUTPUT ACCEPT [0:0]
  48. :PREROUTING ACCEPT [0:0]
  49. :POSTROUTING ACCEPT [0:0]
  50. COMMIT
  51. # Completed
  52. # Generated by webmin
  53. *nat
  54. :PREROUTING ACCEPT [0:0]
  55. :OUTPUT ACCEPT [0:0]
  56. :POSTROUTING ACCEPT [0:0]
  57. # Nat for inside Network
  58. -A POSTROUTING -o ppp0 -j MASQUERADE
  59. # 5900 to 88.52
  60. -A PREROUTING -p tcp -m tcp -i ppp0 --dport 5900 -j DNAT --to-destination 192.168.88.52:5900
  61. # 5800 to 88.52
  62. -A PREROUTING -p tcp -m tcp -i ppp0 --dport 5800 -j DNAT --to-destination 192.168.88.52:5800
  63. COMMIT
  64. # Completed
复制代码

现在我的问题是,snmp不能搜集网络信息,所以我的MRTG不能正常绘制图形.
此服务器不能访问互联网,包括内部网段的任何一个电脑(除了192.168.88.52).
需要添加什么规则才能满足我的需要?
回复

使用道具 举报

konds
发表于 2005-1-7 10:49:30 | 显示全部楼层
你的IPTABLES看起来很奇怪哈.挺长时间没作IPTABLES的配置脚本了.你可以参照精华贴里的脚本作一下

snmp的话.可以在无IPTABLES规则下试一下先.一步一步来
回复 支持 反对

使用道具 举报

发表于 2005-1-20 22:45:19 | 显示全部楼层
你向外发起链接的本地端口在INPUT中没有被允许,可以参考坛子中的历史帖子,添加一条允许已经建立的链接进入。
回复 支持 反对

使用道具 举报

发表于 2005-1-21 22:44:40 | 显示全部楼层
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 中的 -m是什么意思?
既然你一开始把三个链都accept了,后面的设置不就形同虚设了?
回复 支持 反对

使用道具 举报

发表于 2005-1-21 23:26:01 | 显示全部楼层
-A INPUT -s 192.168.88.52/32 -i eth1 -j ACCEPT
此句的作用是什么....



-A FORWARD -p tcp -m tcp -d 192.168.88.253/32 -j ACCEPT
此句的作用又是什么呢?

# allow server  file share
-A FORWARD -s 192.168.88.188 -j ACCEPT
-A FORWARD -s 192.168.88.198 -j ACCEPT
-A FORWARD -s 192.168.88.199 -j ACCEPT
-A FORWARD -s 192.168.88.52 -j ACCEPT
-A FORWARD -s 192.168.1.20 -j ACCEPT
-A FORWARD -s 192.168.10.20 -j ACCEPT
-A FORWARD -s 192.168.88.253 -j ACCEPT
-A FORWARD -s 192.168.1.50 -j ACCEPT
-A FORWARD -s 192.168.88.30 -j ACCEPT


-A FORWARD -p tcp -m tcp -m multiport -d 192.168.88.0/24 -j DROP --dports 135,136,137,138,139,445
-A FORWARD -p udp -m udp -m multiport -d 192.168.1.0/24 -j DROP --dports 135,136,137,138,139,445
-A FORWARD -p tcp -m tcp -m multiport -d 192.168.1.0/24 -j DROP --dports 135,136,137,138,139,445,5190
-A FORWARD -p tcp -m tcp -m multiport -d 192.168.10.0/24 -j DROP --dports 135,136,137,138,139,445



-A INPUT -j DROP
我想请问一下你的目的是什么啊..这句..



-A POSTROUTING -o ppp0 -j MASQUERADE
你这样伪装,别人的VNC按道理是不可以跨段连接到...
你准备把这台设为网关吗?


-A PREROUTING -p tcp -m tcp -i ppp0 --dport 5900 -j DNAT --to-destination 192.168.88.52:5900
-A PREROUTING -p tcp -m tcp -i ppp0 --dport 5800 -j DNAT --to-destination 192.168.88.52:5800

现在我的问题是,snmp不能搜集网络信息,所以我的MRTG不能正常绘制图形.

此服务器不能访问互联网,包括内部网段的任何一个电脑(除了192.168.88.52).



需要添加什么规则才能满足我的需要?[/QUOTE]
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表