iptables防火墙问题?请高手指教!

Question

redhat as4的系统,两快网卡,eth0通外网,eth1接内网,装squid做代理,iptable 配置的防火墙.

问题: 1.开了防火墙以后,客户端上网经常会打不开网页,过一会儿有好了

     2.停掉防火墙后又恢复正常

下面是防火墙规则:
# Generated by iptables-save v1.2.11 on Thu Jan 31 09:26:20 2008
*filter
:INPUT DROP [187:36536]
:FORWARD DROP [0:0]
:OUTPUT DROP [217:27177]
-A INPUT -i eth0 -p tcp  -m multiport --sports 80,443 -j LOG --log-level 5 --log-prefix "INPUT_eth0:"
-A INPUT -i eth0 -p tcp  -m multiport --sports 80,21,53,20,443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp  -m multiport --sports 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT  -i eth1 -p tcp -m multiport --dports 21,22,8080,5902,5802,6002 -j LOG --log-level 5 --log-prefix "INPUT_eth1():"
-A INPUT  -i eth1 -p tcp -m multiport --dports 21,22,8080,5902,5802,6002 -j ACCEPT
#-A INPUT -i eth0 -p tcp  -j ACCEPT
#-A INPUT -i eth0 -p udp  -j ACCEPT
#-A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT
-A INPUT -i eth1 -p icmp -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m multiport --sports 22,21,8080,5902 -j LOG --log-level 5 --log-prefix "OUTPUT_eth1(8080):"
-A OUTPUT -o eth1 -p tcp -m multiport --sports 22,21,8080,5902 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m multiport --dports 80,443 -j LOG --log-level 5 --log-prefix "OUTPUT_eth0(http):"
-A OUTPUT -o eth0 -p tcp -m multiport --dports 20,21,53,80,443 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m multiport --dports 53  -j LOG --log-level 5 --log-prefix "OUTPUT_eth0(dns):"
-A OUTPUT -o eth0 -p udp -m multiport --dports 53  -j ACCEPT
-A OUTPUT -o eth1 -p icmp -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j LOG --log-level 5 --log-prefix "ICMP_OUT:"
-A OUTPUT -o eth0 -p icmp -j ACCEPT
COMMIT
# Completed on Thu Jan 31 09:26:20 2008

请高手帮忙诊断一下!

Answer 1

請多考慮 tcp/ip 雙向回應問題，搭配使用 -m state --state ESTABLISHED 比較正確。

可以參考 iptables faq 文章:

http://linux.chinaunix.net/bbs/thread-812400-1-1.html

--

Answer 2

给你一点建议

1.OUTPUT一般不需要任何规则
2.不要轻易使用log target
3.state match一般单独使用
4.规则可以合并的,尽量合并

给你精简后的规则如下
# Generated by iptables-save v1.2.11 on Thu Jan 31 09:26:20 2008
*filter
:INPUT DROP [187:36536]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [217:27177]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT  -i eth1 -p tcp -m multiport --dports 21,22,8080,5902,5802,6002 -j ACCEPT
-A INPUT -i eth1 -p udp  --dport 53 -j ACCEPT
COMMIT
# Completed on Thu Jan 31 09:26:20 2008

Answer 3

这个问题正好是我想要的，谢谢楼上俩位的帮助