LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 995|回复: 2

iptables nat设置问题不通

[复制链接]
发表于 2005-5-12 17:01:28 | 显示全部楼层 |阅读模式
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -t udp --dport 53 -j ACCEPT
iptables -A OUTPUT -t udp --dport 53 -j ACCEPT
(设置到这儿,我是可以在linux机器上ping通外部的机器的.如ping 210.22.70.3 ping www.online.sh.cn)

接下来我设置nat
iptables -t nat -F
iptables -t nat -X
iptalbles -t nat -P POSTROUTING ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source *.*.*.*
iptables -A FORWARD -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dprot 80 -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
(写好这些以后发现问题:192.168.0.0网段的计算机可以ping linux的内网卡192.168.0.1和外网卡*.*.*.*,但是无法ping通外网,linux计算机还是正常的!

请各位大大指点迷津!!!
发表于 2005-5-12 22:51:44 | 显示全部楼层
加一句看看:
echo '1'>/proc/sys/net/ipv4/ip_forward
回复 支持 反对

使用道具 举报

 楼主| 发表于 2005-5-13 11:45:40 | 显示全部楼层
呵呵,是这个问题!

现在又有一个新的疑问就是:
192.168网段在上网的时候发现什么都可以使用,没有达到限制的作用!
这里在在filter的FORWARD链中只是开放了80和53,也就是只能访问网站,为什么如msn/telnet/ssh/smtp/pop等都可以使用呢?
如何限制这些服务器的使用呢???是不是因为nat的链都是ACCEPT的缘故???
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表