Chinaunix
标题:
iptables中关于网上邻居的访问设置
[打印本页]
作者:
linuxw
时间:
2003-10-30 15:09
标题:
iptables中关于网上邻居的访问设置
SERVER用REDHAT8。0
使用IPTABLES做防火墙。
外网ETH0:192。168。0。4
内网ETH2:10。0。0。1
内网主机:10。0。0。9
外网主机:192。168。0。20
目的:实现外网主机通过网络邻居访问内网主机。
增加模块。。。。。。略
echo 1 >; /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.9 -j DNAT --to 10.0.0.9
以上方法可以达到目的,但不安全。
请教:
如果使用默认转发为DROP策略,那么应该打开什么端口,如何做。
作者:
shinesoft
时间:
2003-10-30 17:37
提示:
作者被禁止或删除 内容自动屏蔽
作者:
linuxw
时间:
2003-10-31 10:04
标题:
iptables中关于网上邻居的访问设置
楼上的方法好象不行啊。
1、iptables应该只击中一个策略,所以只和FORWARD有关,而和INPUT没关系吧?
2、那几个端口是干什么用的,能介绍一下么?
3、有一个内网主机的影射地址是192.168.0.9。其他地址都写的很清楚,麻烦楼上的说清楚yourip到底是哪个地址,谢谢。
作者:
platinum
时间:
2003-10-31 10:16
标题:
iptables中关于网上邻居的访问设置
http://www.chinaunix.net/forum/viewtopic.php?t=191770
我也在问类似的问题,好象有点眉目
作者:
linuxw
时间:
2003-10-31 10:34
标题:
iptables中关于网上邻居的访问设置
楼上的方法好象不行啊。
1、iptables应该只击中一个策略,所以只和FORWARD有关,而和INPUT没关系吧?
2、那几个端口是干什么用的,能介绍一下么?
3、有一个内网主机的影射地址是192.168.0.9。其他地址都写的很清楚,麻烦楼上的说清楚yourip到底是哪个地址,谢谢。
作者:
linuxw
时间:
2003-10-31 10:46
标题:
iptables中关于网上邻居的访问设置
我已经搞定了,shinesoft说对了一半,不是INPUT链,是FORWARD链。
echo 1 >; /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -P FORWARD DROP
iptables -P INPUT DROP#为了测试不是INPUT链,我特意关闭了它
iptables -P OUTPUT DROP
iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p tcp --dport 139 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p tcp --dport 445 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p udp --dport 137 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p udp --dport 138 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p udp --dport 445 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p icmp -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.9 -j DNAT --to 10.0.0.9
作者:
platinum
时间:
2003-10-31 12:16
标题:
iptables中关于网上邻居的访问设置
你是跨网段的个别机器,如果是这样呢?
192.168.0.1 192.168.1.1
192.168.0.2 eth0 eth1 192.168.1.2
192.168.0.3 192.168.1.3
每台机器要能在网上邻居里看到6台计算机
作者:
linuxw
时间:
2003-10-31 13:01
标题:
iptables中关于网上邻居的访问设置
你说的是路由问题吧,
我不是做路由,是防火墙。
应该不是不属于一个问题吧。
作者:
platinum
时间:
2003-10-31 13:02
标题:
iptables中关于网上邻居的访问设置
都是IPTABLES啊
路由+防火墙啊
你的实际也是路由啊,不是用了转发吗
你的CLIENT的网关是怎么设置的?不也是LINUX的地址吗
作者:
linuxw
时间:
2003-10-31 13:22
标题:
iptables中关于网上邻居的访问设置
哦,你是这样认为的。
因为我没有启动zebra,以及rip或者ospf,所以认为自己做的是防火墙而不是路由器。你认为呢?
作者:
platinum
时间:
2003-10-31 14:10
标题:
iptables中关于网上邻居的访问设置
我也一样没启动啊,但route和iptables里设置了,所以还是路由器功能
作者:
網中人
时间:
2003-10-31 15:01
标题:
iptables中关于网上邻居的访问设置
要注意一下 在網鄰使用中 , netbios over tcp/ip 封包,其 header 跟 payload 裡面使用的 address 的差異。
不知道我講甚麼?不妨先看看:
http://nbfw.sourceforge.net/
裡面的版本可能有點舊,未必能用在當前的機器上。但,重點是要了解工作原理。
欢迎光临 Chinaunix (http://bbs.chinaunix.net/)
Powered by Discuz! X3.2