LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 1121|回复: 4

谁能帮我分析一下我的Iptables规则(启用之后,本机不能访问任何地方).

[复制链接]
发表于 2004-12-29 18:23:57 | 显示全部楼层 |阅读模式
以下是我的网关上的iptables配置文件,大家帮忙分析一下.多谢了!

  1. *filter
  2. :FORWARD ACCEPT [0:0]
  3. :INPUT ACCEPT [0:0]
  4. :OUTPUT ACCEPT [0:0]
  5. # Allow ssh port 22
  6. -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
  7. # Accept Inside network webmin management
  8. -A INPUT -p tcp -m tcp -s 192.168.88.0/24 --dport 10000 -j ACCEPT
  9. # Accept MRTG web IMG
  10. -A INPUT -p tcp -m tcp -s 192.168.0.0/16 --dport 80 -j ACCEPT
  11. # accept tcp port 5900
  12. -A INPUT -p tcp -m tcp -i ppp0 --dport 5900 -j ACCEPT
  13. # Accept 192.168.88.52 Admin
  14. -A INPUT -s 192.168.88.52/32 -i eth1 -j ACCEPT
  15. # accept tcp port 5800
  16. -A INPUT -p tcp -m tcp -i ppp0 --dport 5800 -j ACCEPT
  17. # localhost
  18. -A INPUT -i lo -j ACCEPT
  19. # drop 135,145,445
  20. -A FORWARD -p tcp -m tcp -m multiport -d 192.168.100.0/24 -j DROP --dports 135,139,445
  21. -A FORWARD -p tcp -m tcp -d 192.168.88.253/32 -j ACCEPT
  22. # allow server  file share
  23. -A FORWARD -s 192.168.88.188 -j ACCEPT
  24. -A FORWARD -s 192.168.88.198 -j ACCEPT
  25. -A FORWARD -s 192.168.88.199 -j ACCEPT
  26. -A FORWARD -s 192.168.88.52 -j ACCEPT
  27. -A FORWARD -s 192.168.1.20 -j ACCEPT
  28. -A FORWARD -s 192.168.10.20 -j ACCEPT
  29. -A FORWARD -s 192.168.88.253 -j ACCEPT
  30. -A FORWARD -s 192.168.1.50 -j ACCEPT
  31. -A FORWARD -s 192.168.88.30 -j ACCEPT
  32. #drop other microsoft file-share
  33. -A FORWARD -p tcp -m tcp -m multiport -d 192.168.88.0/24 -j DROP --dports 135,136,137,138,139,445
  34. -A FORWARD -p udp -m udp -m multiport -d 192.168.1.0/24 -j DROP --dports 135,136,137,138,139,445
  35. -A FORWARD -p tcp -m tcp -m multiport -d 192.168.1.0/24 -j DROP --dports 135,136,137,138,139,445,5190
  36. -A FORWARD -p tcp -m tcp -m multiport -d 192.168.10.0/24 -j DROP --dports 135,136,137,138,139,445
  37. # Drop any
  38. -A INPUT -j DROP
  39. # allow localhost access any
  40. -A OUTPUT -o lo -j ACCEPT
  41. COMMIT
  42. # Generated by webmin
  43. *mangle
  44. :FORWARD ACCEPT [0:0]
  45. :INPUT ACCEPT [0:0]
  46. :OUTPUT ACCEPT [0:0]
  47. :PREROUTING ACCEPT [0:0]
  48. :POSTROUTING ACCEPT [0:0]
  49. COMMIT
  50. # Completed
  51. # Generated by webmin
  52. *nat
  53. :PREROUTING ACCEPT [0:0]
  54. :OUTPUT ACCEPT [0:0]
  55. :POSTROUTING ACCEPT [0:0]
  56. # Nat for inside Network
  57. -A POSTROUTING -o ppp0 -j MASQUERADE
  58. # 5900 to 88.52
  59. -A PREROUTING -p tcp -m tcp -i ppp0 --dport 5900 -j DNAT --to-destination 192.168.88.52:5900
  60. # 5800 to 88.52
  61. -A PREROUTING -p tcp -m tcp -i ppp0 --dport 5800 -j DNAT --to-destination 192.168.88.52:5800
  62. COMMIT
  63. # Completed
复制代码

现在我的问题是,snmp不能搜集网络信息,所以我的MRTG不能正常绘制图形.
此服务器不能访问互联网,包括内部网段的任何一个电脑(除了192.168.88.52).
需要添加什么规则才能满足我的需要?
发表于 2005-1-7 10:49:30 | 显示全部楼层
你的IPTABLES看起来很奇怪哈.挺长时间没作IPTABLES的配置脚本了.你可以参照精华贴里的脚本作一下

snmp的话.可以在无IPTABLES规则下试一下先.一步一步来
发表于 2005-1-20 22:45:19 | 显示全部楼层
你向外发起链接的本地端口在INPUT中没有被允许,可以参考坛子中的历史帖子,添加一条允许已经建立的链接进入。
回复 支持 反对

使用道具 举报

发表于 2005-1-21 22:44:40 | 显示全部楼层
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 中的 -m是什么意思?
既然你一开始把三个链都accept了,后面的设置不就形同虚设了?
回复 支持 反对

使用道具 举报

发表于 2005-1-21 23:26:01 | 显示全部楼层
-A INPUT -s 192.168.88.52/32 -i eth1 -j ACCEPT
此句的作用是什么....



-A FORWARD -p tcp -m tcp -d 192.168.88.253/32 -j ACCEPT
此句的作用又是什么呢?

# allow server  file share
-A FORWARD -s 192.168.88.188 -j ACCEPT
-A FORWARD -s 192.168.88.198 -j ACCEPT
-A FORWARD -s 192.168.88.199 -j ACCEPT
-A FORWARD -s 192.168.88.52 -j ACCEPT
-A FORWARD -s 192.168.1.20 -j ACCEPT
-A FORWARD -s 192.168.10.20 -j ACCEPT
-A FORWARD -s 192.168.88.253 -j ACCEPT
-A FORWARD -s 192.168.1.50 -j ACCEPT
-A FORWARD -s 192.168.88.30 -j ACCEPT


-A FORWARD -p tcp -m tcp -m multiport -d 192.168.88.0/24 -j DROP --dports 135,136,137,138,139,445
-A FORWARD -p udp -m udp -m multiport -d 192.168.1.0/24 -j DROP --dports 135,136,137,138,139,445
-A FORWARD -p tcp -m tcp -m multiport -d 192.168.1.0/24 -j DROP --dports 135,136,137,138,139,445,5190
-A FORWARD -p tcp -m tcp -m multiport -d 192.168.10.0/24 -j DROP --dports 135,136,137,138,139,445



-A INPUT -j DROP
我想请问一下你的目的是什么啊..这句..



-A POSTROUTING -o ppp0 -j MASQUERADE
你这样伪装,别人的VNC按道理是不可以跨段连接到...
你准备把这台设为网关吗?


-A PREROUTING -p tcp -m tcp -i ppp0 --dport 5900 -j DNAT --to-destination 192.168.88.52:5900
-A PREROUTING -p tcp -m tcp -i ppp0 --dport 5800 -j DNAT --to-destination 192.168.88.52:5800

现在我的问题是,snmp不能搜集网络信息,所以我的MRTG不能正常绘制图形.

此服务器不能访问互联网,包括内部网段的任何一个电脑(除了192.168.88.52).



需要添加什么规则才能满足我的需要?[/QUOTE]
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表