iptables入门教程--设置静态防火墙（ step by step）

jellychen

短小但精致,好!

uninone

很好的,一个贴子!兄弟我,正好需要这样的入门贴!
谢了!兄弟!
希望以后多发好贴子!
顶!

kingduanlian

全是INPUT，OUTPUT什么时候用，怎么用呢？

orphen

Post by kidrane
为什么代理服务器用redirect,而内部主机用DNAT.我看好像区别不是很大
希望大家指正

REDIRECT修改数据包的目的地址为本机地址，端口为--to-ports指定。
DNAT修改的数据包的目的地址和端口都由--to指定。

cyclone

Post by cisco2005
打到问题啦,因为我的FTP方式是PASV方式,所以需要根据FTP设置打开一些端口就OK了.像我这边的客户端总是连接FTP SERVER的30000-40000之间的端口,所以加一条: iptables -A INPUT -p tcp --dport 30000:40000 -j ACCEPT 规则就OK了. 当然,更好的方法是先在FTP中设置好允许客户端进行数据传输的PASV端口范围(MAX-MIN),再根据FTP规则设置iptables规则.
完全是个人意见,供大家交流.

请问朋友是FTP客户端还是服务器端，如果CLIENT应该是加iptables -A INPUT -p tcp --sport 30000:40000 -j ACCEPT吧，把dport改为sport。一点疑惑，请指正。

fuju

我的处女帖就拿来顶你了~~~

jojogohome

看man和how-to有点头晕
还是先看一下这个入门好

kenmasida

错了吧，看清楚允许本地电脑访问别人的80端口的语句是：
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

而允许自己提供的web 服务的语句也是
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

9、如果不巧你的机器是服务器，并且要提供www服务。显然，以上的脚本就不能符合我们的要求了。但只要你撑握了规则，稍作修改同样也能很好的工作。在最后面加上一句

iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

kelonglong

你这样做，只能适合在本机操作，而对于远程操作时，这样做，就没什么意思了，到你的3，你和你的远程服务器之间就断掉了，那你就只能跑路到机房了!~~~~~~

kelonglong

不如写一个脚本，一次性执行完了不就得了，如果，你使用SSH或TELNET时，别忘了打开他们的进出。不然就会断掉!