LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 836|回复: 3

关于IPTABLES规则的问题

[复制链接]
发表于 2006-2-12 23:28:17 | 显示全部楼层 |阅读模式
首先祝大家,元宵节快乐,希望大家给予帮助
我问个问题,我在家那vmware做实验,我用的是adsl拨号上网
假如用iptables做防火墙,内网的机器是win2000,input,output,forward 默认规则都是drop,
我就两台机器iptables的ip为192.168.1.11
win2000的ip为192.168.1.12

我是这样考虑的不知道对不对
iptables -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

echo 1 >/proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#因为不是本地产生的数据说以走的是forward这个链,假如要访问外网ip为202.84.12.156 这个网址

iptables -A FORWARD -d 202.84.12.156 -j ACCEPT
iptables -A FORWARD -d 192.168.1.12 -j ACCEPT (因为是双向的有来有回)

#如果我只想让内网的机器访问QQ聊天软件,别的什么也不让访问,我把qq所有连接ip都写上了,这样可以访问,但是太麻烦了,

iptables -A FORWARD -d 219.133.48.51 -j ACCEPT
iptables -A FORWARD -d 219.133.48.49 -j ACCEPT
iptables -A FORWARD -d 219.133.48.73 -j ACCEPT
iptables -A FORWARD -d 219.133.38.9 -j ACCEPT
iptables -A FORWARD -d 219.133.49.192 -j ACCEPT
iptables -A FORWARD -d 219.133.49.190 -j ACCEPT
iptables -A FORWARD -d 219.133.49.189 -j ACCEPT
iptables -A FORWARD -d 219.133.49.13 -j ACCEPT
iptables -A FORWARD -d 219.133.48.89 -j ACCEPT
iptables -A FORWARD -d 219.133.49.171 -j ACCEPT
iptables -A FORWARD -d 219.133.49.169 -j ACCEPT
iptables -A FORWARD -d 219.133.48.87 -j ACCEPT
iptables -A FORWARD -d 219.133.60.31 -j ACCEPT
iptables -A FORWARD -d 219.133.60.39 -j ACCEPT
iptables -A FORWARD -d 219.133.40.138 -j ACCEPT
iptables -A FORWARD -d 219.133.40.37 -j ACCEPT
iptables -A FORWARD -d 219.134.128.6 -j ACCEPT
iptables -A FORWARD -d 192.168.1.12 -j ACCEPT

#我在网上看到ESTABLISHED,REVALTED,,说这个是,如果上个连接通过,由这个ip产生的其他连接也通过,但是我这样写不好使
iptables -A FORWARD -d 219.133.48.51 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,REVALTED -j ACCEPT
iptables -A FORWARD -d 192.168.1.11 -j ACCEPT

是不是ESTABLISHED,REVALTED只能用在INPUT 链里呀?怎么才能简化呢?
发表于 2006-2-13 01:32:11 | 显示全部楼层
如果是单纯对 目标机器的话,那么你就一个一个加吧,好像没什么好方法。

你可以试试 layer 7 这个patch。
http://l7-filter.sourceforge.net/
回复 支持 反对

使用道具 举报

发表于 2006-2-13 11:20:45 | 显示全部楼层
是不是ESTABLISHED,REVALTED只能用在INPUT 链里呀?怎么才能简化呢?
不是output也可以
回复 支持 反对

使用道具 举报

 楼主| 发表于 2006-2-13 12:52:50 | 显示全部楼层
谢谢!
斑竹 和 dancingpig 的帮助
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表