iptables 添加time模块 规则没起作用

skyajlm

用的是Linux2.4.18的内核 iptables1.3.0
从ftp.netfilter.org//pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20060702.tar.bz2获得patch-o-matic-ng-20060702.tar.bz2

在/usr/src下解压到patch-o-matic-ng
KERNEL_DIR=/usr/src/linux
IPTABLES_DIR=/usr/src/iptables1.3.0
进入patch-o-matic-ng
运行。/runme base

相应选上yes

进入kernel目录 编译内核
在network option进入netifliter选择相应的time
编译

进入iptables所在目录编译iptables
查看产生有 libipt_time.so

iptables -A FORWARD -s 192.168.1.0/24 -m time --timestart 08:00 --timestop 17:00 -j DROP

发现没有效果 依然能上网

iptables -L
Chain FORWARD (policy DROP)
target     prot opt source               destination         
sysfw      all  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.1.0/24       anywhere            state NEW
DROP       all  --  192.168.1.0/24       anywhere            TIME from 8:0 to 17:0 on all days

Chain INPUT (policy DROP)
target     prot opt source               destination         
sysfw      all  --  anywhere             anywhere            state NEW
re-admin   all  --  anywhere             anywhere            
lo-admin   all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain lo-admin (1 references)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.0/24       anywhere            

Chain p2pfw (0 references)
target     prot opt source               destination         

Chain re-admin (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request

Chain sysfw (2 references)
target     prot opt source               destination         
DROP       udp  --  anywhere             anywhere            udp dpts:135:netbios-ssn
DROP       tcp  --  anywhere             anywhere            tcp dpts:135:netbios-ssn
DROP       tcp  --  anywhere             anywhere            tcp dpt:445

困扰一天了给找哈问题

skyajlm

对与错  还请知道的人指点一下

genious588

规则里没有时间啊！·！！！

linjingcheng

规则做错，从上到下匹配！！！！！
把iptables的-A改为-I搞定。

skyajlm

原帖由 genious588 于 2007-12-20 09:37 发表
规则里没有时间啊！·！！！

我写了这条啊
iptables -A FORWARD -s 192.168.1.0/24 -m time --timestart 08:00 --timestop 17:00 -j DROP
禁止192。168。1。0网段在早上8点到下午5点上网啊

skyajlm

原帖由 linjingcheng 于 2007-12-20 10:49 发表
规则做错，从上到下匹配！！！！！
把iptables的-A改为-I搞定。

在发贴之前试过-I 发现不行

linjingcheng

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.1.0/24       anywhere            state NEW


这个意思是不是说只允许192.168.1.0/24发起请求？RELATED是个比较麻烦的状态。当一个连接和某个已处于ESTABLISHED状态的连接有关系时,就被认为是RELATED的了。你这个规则做起来没错。就是说只允许本内网发起外网的请求或允许已经建立链接的请求。


但iptables -A FORWARD -s 192.168.1.0/24 -m time --timestart 08:00 --timestop 17:00 -j DROP
这条规则的意思是说从8点到晚上5点不可以上网，这条规则也没做错。但是跟上面所做的规则有所冲突。

首先是允许内网发起请求，并允许已经建立链接的请求，但后面又做一条拒绝某个时间段上网的规则。这是不对了嘛。允许发起请求，是应该说可以上网，后面又来一条不能上网。包怎么走？从上到下嘛。这个时候就上网了嘛。

如果说－I不能解决问题的话，还几种可能：
一，可能是因为有不同的线路可以出去。默认路由怎么走？
二，可能是因为前面有允许的规则。因为从上到下匹配嘛。
三，可能是因为规则做得不够明细。可能尝试用明细日期去匹配。比如说iptables -A FORWARD -s 192.168.1.0/24 -m time --timestart 08:00 --timestop 17:00 --days Sun -j DROP 。如果不是上述原因，我水平有限，帮不了你！