|
|
首先祝大家,元宵节快乐,希望大家给予帮助
我问个问题,我在家那vmware做实验,我用的是adsl拨号上网
假如用iptables做防火墙,内网的机器是win2000,input,output,forward 默认规则都是drop,
我就两台机器iptables的ip为192.168.1.11
win2000的ip为192.168.1.12
我是这样考虑的不知道对不对
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#因为不是本地产生的数据说以走的是forward这个链,假如要访问外网ip为202.84.12.156 这个网址
iptables -A FORWARD -d 202.84.12.156 -j ACCEPT
iptables -A FORWARD -d 192.168.1.12 -j ACCEPT (因为是双向的有来有回)
#如果我只想让内网的机器访问QQ聊天软件,别的什么也不让访问,我把qq所有连接ip都写上了,这样可以访问,但是太麻烦了,
iptables -A FORWARD -d 219.133.48.51 -j ACCEPT
iptables -A FORWARD -d 219.133.48.49 -j ACCEPT
iptables -A FORWARD -d 219.133.48.73 -j ACCEPT
iptables -A FORWARD -d 219.133.38.9 -j ACCEPT
iptables -A FORWARD -d 219.133.49.192 -j ACCEPT
iptables -A FORWARD -d 219.133.49.190 -j ACCEPT
iptables -A FORWARD -d 219.133.49.189 -j ACCEPT
iptables -A FORWARD -d 219.133.49.13 -j ACCEPT
iptables -A FORWARD -d 219.133.48.89 -j ACCEPT
iptables -A FORWARD -d 219.133.49.171 -j ACCEPT
iptables -A FORWARD -d 219.133.49.169 -j ACCEPT
iptables -A FORWARD -d 219.133.48.87 -j ACCEPT
iptables -A FORWARD -d 219.133.60.31 -j ACCEPT
iptables -A FORWARD -d 219.133.60.39 -j ACCEPT
iptables -A FORWARD -d 219.133.40.138 -j ACCEPT
iptables -A FORWARD -d 219.133.40.37 -j ACCEPT
iptables -A FORWARD -d 219.134.128.6 -j ACCEPT
iptables -A FORWARD -d 192.168.1.12 -j ACCEPT
#我在网上看到ESTABLISHED,REVALTED,,说这个是,如果上个连接通过,由这个ip产生的其他连接也通过,但是我这样写不好使
iptables -A FORWARD -d 219.133.48.51 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,REVALTED -j ACCEPT
iptables -A FORWARD -d 192.168.1.11 -j ACCEPT
是不是ESTABLISHED,REVALTED只能用在INPUT 链里呀?怎么才能简化呢? |
|
IP卡
狗仔卡
发表于 2006-2-12 23:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主