- 论坛徽章:
- 0
|
以前服务器是以NAT方式让各个客户端上网的,现又改成NAT + PPPOE方式,由iptables来控制PPPOE各个客户端,但我又想保留一部分原先NAT上网的用户。原来的网段是10.70.58.0/24 后改成PPPOE方式分配的各个客户端ip是172.23.18.0/23 ,现在的情况是PPPOE方式可以正常上网,但nat方式的客户端确无法上网。服务器的eth0是内网卡,地址是10.70.58.7,下面是一部分iptables脚本
#!/bin/sh
#eth0=LAN eth1=CNC
export PATH=sbin:/usr/sbin:/bin:/usr/bin
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -t mangle -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
############## IPTABLES RULES ##########
#
#
##### INPUT #####
/sbin/iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
/sbin/iptables -N syn-flood
/sbin/iptables -A INPUT -p TCP --syn -j syn-flood
/sbin/iptables -I syn-flood -p TCP -m limit --limit 3/s --limit-burst 6 -j RETURN
/sbin/iptables -A syn-flood -j REJECT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp -m multiport --dports 53 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,80,3000 -s 10.70.58.3 -j ACCEPT
#### Added in 2006.03.30, accept all icmp packets except echo-request rate 5/s####
/sbin/iptables -A INPUT -p ICMP -s 10.70.58.0/24 --icmp-type 8 -m limit --limit 5/s -j ACCEPT
/sbin/iptables -A INPUT -p ICMP -s 10.70.58.0/24 --icmp-type 8 -j DROP
/sbin/iptables -A INPUT -p ICMP -s 10.70.58.0/24 -j ACCEPT
##### FORWARD #####
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -s 172.23.18.1 -j ACCEPT
/sbin/iptables -A FORWARD -s 172.23.18.3 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.70.58.3 -j ACCEPT
/sbin/iptables -A FORWARD -s 172.23.18.4 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 0/0 -j MASQUERADE
现在我想让10.70.58.3(没有拨号,把网关设成服务器的eth0的地址10.70.58.7)能访问服务器的22、3000等端口,但无法实现,而且上网也无法实现.当我把input链直接ACCEPT了,NAT方式就可以了,我上面的规则那里不对阿,怎么让不拨号的10.70.58.3直接NAT出去???
[ 本帖最后由 R9_Alien 于 2007-1-23 14:52 编辑 ] |
|
免费注册
发表于 2007-01-23 09:24