帮忙看下这份iptables脚本为何不能通过UDP的连接？

kimjiang · 发表于 2005-3-7 14:36:54

LINUX FC2，静态IP地址，有telnet，ftp，vnc和UDP端口27888的kaillerasrv服务，前三个TCP协议的服务外界都可以正常连接，但UDP服务就连接不上了。下面是我的iptables脚本，请各位大哥帮小弟看看，万分感谢！！！

inter_ip="xxx.xxx.xxx.xxx"
lan_ip="192.168.0.1"
lo_ip="127.0.0.1"

IPTABLES="/sbin/iptables"

#/sbin/depmod -a
#/sbin/modprobe ip_tables
#/sbin/modprobe iptable_filter
#/sbin/modprobe iptable_nat
#/sbin/modprobe ipt_state

echo "1" > /proc/sys/net/ipv4/ip_forward

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 23 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 5900 -j allowed

$IPTABLES -A udp_packets -p UDP -s 0/0 --dport 27888 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$IPTABLES -A INPUT -p ALL -i eth1 -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i lo -s $lo_ip -j ACCEPT
$IPTABLES -A INPUT -p ALL -i lo -s $lan_ip -j ACCEPT
$IPTABLES -A INPUT -p ALL -i lo -s $inter_ip -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $inter_ip -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i eth0 -j tcp_packets
$IPTABLES -A INPUT -p UDP -i eth0 -j udp_packets
$IPTABLES -A INPUT -p ICMP -i eth0 -j icmp_packets

$IPTABLES -A FORWARD -i eth1 -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $lo_ip -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $lan_ip -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $inter_ip -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source $inter_ip

konds · 发表于 2005-3-7 18:27:32

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 27888 -j ACCEPT

kimjiang · 发表于 2005-3-8 08:20:54

konds ,这两句话有什么不一样么？
我本来也是--destination-port 的，后来改成－－dport，一样都无法连接
只有关闭防火墙外网才可以连接我的27888。
何解？

konds · 发表于 2005-3-8 17:29:53

效果是一样的. 你是不是还有哪里没设置好? 我按你说的环境试了一下.可以连上游戏服务器的.用你的firewall

kimjiang · 发表于 2005-3-9 09:18:20

不会吧？！
我的情况是，只要开启防火墙，一个玩家都进不来；关闭防火墙，马上有很多人进来了。不解

konds · 发表于 2005-3-11 23:01:46

不是吧。很奇怪啊。你先试一下 telnet IP 27888 看有什么信息。需要的话mail联系我。我帮你看看
konds@163.com

x11 · 发表于 2005-3-21 23:53:39

Post by konds
不是吧。很奇怪啊。你先试一下 telnet IP 27888 看有什么信息。需要的话mail联系我。我帮你看看
konds@163.com

udp用telnet试不出的。。。

菜鸟555 · 发表于 2005-3-22 01:26:34

我是菜鸟一只，请问高人们能否详细解释一下下面这三句？特别是最后一句。小弟谢谢了！！！
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

菜鸟555 · 发表于 2005-3-22 09:50:50

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
第二句已经限制了某些TCP协议，那么第三句是否可以省略不要？？？
谢谢大家指教！

Yuri · 发表于 2005-3-24 09:54:33

把防火墙关掉，再看能不能连上

		自动登录	找回密码
密码			注册