关于配置企业级iptables 的问题!
我的iptables的系统是CENTOS4.8 两块网卡:eth0:192.168.0.254 eth1:118.242.18.51
vi /etc/rc.d/iptables . 写入如下:
IPTABLES=/sbin/iptables
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
$IPTABLES -F -t filter
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -X -t filter
$IPTABLES -X -t nat
$IPTABLES -X -t mangle
$IPTABLES -Z -t filter
$IPTABLES -Z -t nat
$IPTABLES -Z -t mangle
$IPTABLES -t filter -P INPUT DROP
$IPTABLES -t filter -P OUTPUT ACCEPT
$IPTABLES -t filter -P FORWARD DROP
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -s 118.242.18.51 -p icmp -j ACCEPT
$IPTABLES -A FORWARD -p icmp -j ACCEPT
$IPTABLES -A INPUT -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to 118.242.18.51
$IPTABLES -A FORWARD -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p icmp -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
##开启QQ端口
$IPTABLES -A FORWARD -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 443 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 8000 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 8000 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 4000 -j ACCEPT
执行后 ,我觉得 80、53 端口都允许中转了 应该可以上网吧 但是结果是不能上网!但是可以聊QQ!! 这是什么原因呢? 是不是要要开放什么端口?
但是如果将 FORWARD 的默认规则由 DROP 改为 ACCEPT 就可以上网 ,也可以聊Q,这样防火墙就失效了!!那就没意思了, 希望大虾们、高手们帮我看看 该怎么设置才能上网啊?
衷心在此谢谢了!
[~]#iptables-save
# Generated by iptables-save v1.2.11 on Thu Nov 19 22:18:33 2009
*nat
REROUTING ACCEPT [19125:2019827]OSTROUTING ACCEPT [4:254]
:OUTPUT ACCEPT [4:254]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 118.242.16.51
COMMIT
# Completed on Thu Nov 19 22:18:33 2009
# Generated by iptables-save v1.2.11 on Thu Nov 19 22:18:33 2009
*filter
:INPUT DROP [56:2748]
:FORWARD DROP [2068:337551]
:OUTPUT ACCEPT [2287:211975]
-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 118.242.16.51 -p icmp -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 1863 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 8000 -j ACCEPT
-A FORWARD -p udp -m udp --dport 8000 -j ACCEPT
-A FORWARD -p udp -m udp --dport 4000 -j ACCEPT
COMMIT
# Completed on Thu Nov 19 22:18:33 2009
# Generated by iptables-save v1.2.11 on Thu Nov 19 22:18:33 2009
*mangleREROUTING ACCEPT [30761:3110714]
:INPUT ACCEPT [7477:642983]
:FORWARD ACCEPT [5042:624204]
:OUTPUT ACCEPT [2287:211975]OSTROUTING ACCEPT [5261:498628]
COMMIT
[ 本帖最后由 lm870403 于 2009-11-19 22:43 编辑 ]
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(8)
把iptables-save贴上来看看
FORWARD 链 state 问题
FORWARD 链 state 问题 ? 那具体应该怎么写呢?
像脚本里 INPUT 链对 state 那样处理,FORWARD 也同理
在FORWARD最前面加
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
非常感谢!!!!!
通常NEW状态是需要单独处理的吧。
玩得真明白啊。我没玩过。简单的行。复杂的就迷糊了。