Chinaunix

标题: iptables中关于网上邻居的访问设置 [打印本页]

作者: linuxw 时间: 2003-10-30 15:09
标题: iptables中关于网上邻居的访问设置
SERVER用REDHAT8。0
使用IPTABLES做防火墙。
外网ETH0：192。168。0。4
内网ETH2：10。0。0。1
内网主机：10。0。0。9
外网主机：192。168。0。20
目的：实现外网主机通过网络邻居访问内网主机。

增加模块。。。。。。略
echo 1 >; /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.9 -j DNAT --to 10.0.0.9
以上方法可以达到目的，但不安全。
请教：
如果使用默认转发为DROP策略，那么应该打开什么端口，如何做。

作者: shinesoft 时间: 2003-10-30 17:37
提示: 作者被禁止或删除内容自动屏蔽

作者: linuxw 时间: 2003-10-31 10:04
标题: iptables中关于网上邻居的访问设置
楼上的方法好象不行啊。
1、iptables应该只击中一个策略，所以只和FORWARD有关，而和INPUT没关系吧？
2、那几个端口是干什么用的，能介绍一下么？
3、有一个内网主机的影射地址是192.168.0.9。其他地址都写的很清楚，麻烦楼上的说清楚yourip到底是哪个地址,谢谢。

作者: platinum 时间: 2003-10-31 10:16
标题: iptables中关于网上邻居的访问设置
http://www.chinaunix.net/forum/viewtopic.php?t=191770
我也在问类似的问题，好象有点眉目

作者: linuxw 时间: 2003-10-31 10:34
标题: iptables中关于网上邻居的访问设置
楼上的方法好象不行啊。
1、iptables应该只击中一个策略，所以只和FORWARD有关，而和INPUT没关系吧？
2、那几个端口是干什么用的，能介绍一下么？
3、有一个内网主机的影射地址是192.168.0.9。其他地址都写的很清楚，麻烦楼上的说清楚yourip到底是哪个地址,谢谢。

作者: linuxw 时间: 2003-10-31 10:46
标题: iptables中关于网上邻居的访问设置
我已经搞定了，shinesoft说对了一半，不是INPUT链，是FORWARD链。

echo 1 >; /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -P FORWARD DROP
iptables -P INPUT DROP#为了测试不是INPUT链，我特意关闭了它
iptables -P OUTPUT DROP
iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p tcp --dport 139 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p tcp --dport 445 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p udp --dport 137 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p udp --dport 138 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p udp --dport 445 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p icmp -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.9 -j DNAT --to 10.0.0.9

作者: platinum 时间: 2003-10-31 12:16
标题: iptables中关于网上邻居的访问设置
你是跨网段的个别机器，如果是这样呢？
192.168.0.1                                                    192.168.1.1
192.168.0.2       eth0    eth1                192.168.1.2
192.168.0.3                                                    192.168.1.3

每台机器要能在网上邻居里看到6台计算机

作者: linuxw 时间: 2003-10-31 13:01
标题: iptables中关于网上邻居的访问设置
你说的是路由问题吧，
我不是做路由，是防火墙。
应该不是不属于一个问题吧。

作者: platinum 时间: 2003-10-31 13:02
标题: iptables中关于网上邻居的访问设置
都是IPTABLES啊
路由+防火墙啊
你的实际也是路由啊，不是用了转发吗
你的CLIENT的网关是怎么设置的？不也是LINUX的地址吗

作者: linuxw 时间: 2003-10-31 13:22
标题: iptables中关于网上邻居的访问设置
哦，你是这样认为的。

因为我没有启动zebra,以及rip或者ospf，所以认为自己做的是防火墙而不是路由器。你认为呢？

作者: platinum 时间: 2003-10-31 14:10
标题: iptables中关于网上邻居的访问设置
我也一样没启动啊，但route和iptables里设置了，所以还是路由器功能

作者: 網中人 时间: 2003-10-31 15:01
标题: iptables中关于网上邻居的访问设置
要注意一下在網鄰使用中， netbios over tcp/ip 封包，其 header 跟 payload 裡面使用的 address 的差異。

不知道我講甚麼？不妨先看看：
http://nbfw.sourceforge.net/
裡面的版本可能有點舊，未必能用在當前的機器上。但，重點是要了解工作原理。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)