Chinaunix

标题: 关于iptables一条语句的疑问 [打印本页]

作者: 蓝火人 时间: 2008-03-21 17:51
标题: 关于iptables一条语句的疑问
我的规则当中加了如下一句iptables -I FORWARD -p tcp -s 0/0 -d 0/0 --dport 15000:23068 -j DROP

我的意思是想封闭所有的15000到23068的端口

可是加上这条规则后，局域网所有的机器都会出现IP地址冲突。而且都是和服务器的外网的网卡冲突，每台机器都提示使用deIP地址和网络上的其他机器发生冲突，通过事件查看器一看就是和服务器外网的网卡冲突

这条语句我肯定写错了，可是错在哪里呢？

作者: ssffzz1 时间: 2008-03-21 17:59
这条规则应该不会导致IP冲突。你的IP冲突应该还有别的原因。

作者: 蓝火人 时间: 2008-03-21 18:00

原帖由 ssffzz1 于 2008-3-21 17:59 发表
这条规则应该不会导致IP冲突。你的IP冲突应该还有别的原因。

我试了几次，只要把这句注销掉，就不会出现冲突
可是一旦启用这句，冲突就发生了

作者: 蓝火人 时间: 2008-03-21 18:04

原帖由 蓝火人 于 2008-3-21 18:00 发表

我试了几次，只要把这句注销掉，就不会出现冲突
可是一旦启用这句，冲突就发生了

不好意思，真的不是这句，我又做了测试

下面是我的规则，您给看看
#!/bin/sh
echo "Enabling IP Forwarding..."
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#刷新nat规则
echo "Starting iptables rules..."
/sbin/iptables -F -t nat
#刷新iptables规则
/sbin/iptables -F

#加载相关的内核模块

/sbin/modprobe ip_tables

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_conntrack_ftp

# 清除预设表 filter 中，所有规则链中的规则

/sbin/iptables -F

# 清除nat表中，所有规则链中的规则

/sbin/iptables -F -t nat

# 清除预设表 filter 中，使用者自订链中的规则

/sbin/iptables -X

#进行端口转发,如果不写第一句，则代理不起作用
#iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
#这一句只针对192.168.0.0/24这个网段 -m 则是针对anywhere
#iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/22 -j SNAT --to-source 213.258.25.14
#iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares --pp --xunlei -j DROP
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to-source 219.239.105.62
#封闭端口
#iptables -I FORWARD -p tcp -s 0/0 -d 0/0 --dport 15000:23068 -j DROP
#iptables -I OUTPUT -p tcp -s 0/0 -d 0/0 --sport 15000:23068 -j DROP
#iptables -I FORWARD -p tcp -s 0/0 -d 0/0 --dport 23070: -j DROP
#iptables -I OUTPUT -p tcp -s 0/0 -d 0/0 --sport 23070: -j DROP
#iptables -I FORWARD -p udp -s 0/0 -d 0/0 --dport 15000:23068 -j DROP
#iptables -I OUTPUT -p udp -s 0/0 -d 0/0 --sport 15000:23068 -j DROP
#iptables -I FORWARD -p udp -s 0/0 -d 0/0 --dport 23070: -j DROP
#iptables -I OUTPUT -p udp -s 0/0 -d 0/0 --sport 23070: -j DROP
#加载ip_nat_ftp模块（若没有编译进内核），以使ftp能被正确NAT
#modprobe ip_nat_ftp
#加载ip_conntrack_ftp模块
#modprobe ip_conntrack_ftp
# 防止SYN攻击轻量

#iptables -N syn-flood

#iptables -A INPUT -p tcp --syn -j syn-flood

#iptables -A syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN

#iptables -A syn-flood -j REJECT

# 对于不管来自哪里的ip碎片都进行控制，允许每秒通过100个碎片

#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

# icmp包通过的控制，防止icmp黑客攻击

#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

#drop QQLive（禁止QQLive）
#iptables -I FORWARD -p udp --dport 13000: -j DROP

#iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 1/h --burst 10 -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type 8 -j DROP

#iptables -I INPUT -p tcp --dport 22 -j DROP

作者: 蓝火人 时间: 2008-03-25 09:16

原帖由 ssffzz1 于 2008-3-21 17:59 发表
这条规则应该不会导致IP冲突。你的IP冲突应该还有别的原因。

问题找到了，就是parxy_arp的问题，谢谢

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)