- 论坛徽章:
- 0
|
一、请问下面这句话有没有错:
“如果信息包源自系统本机或所连接的内部网上的其它源,并且此信息包要前往另一个外部系统,那信息包被传到OUTPUT链。”
二、如何限制MSN发送文件?
疑问:在网上查到资料MSN发送文件用的端口是:6891-6900,我试了一下只开放443端和1863端可以登录,但也可以发送文件,不知道还需要哪些设置?写法如下:
#$IPTABLES -A FORWARD -s 192.168.0.149 -p TCP -m multiport --dport 443,1863 -o eth0 -j ACCEPT
#$IPTABLES -A FORWARD -s 192.168.0.149 -p UDP -m multiport --dport 443,1863 -o eth0 -j ACCEPT
#$IPTABLES -A FORWARD -s 192.168.0.149 -o eth0 -j DROP
三、当指定多端口时为什么不能用“!”?如上
四、再帮忙看一下下面这断脚本有没有问题(注:是网上摘抄):
1:首先把QQ各服务器的IP地址列出来,顺便也把你要禁止的其他IP地址也列出来吧,一会就用到了。
2:建立一个黑名单,例如
#vi /etc/blacklist
把1:中列出的要禁止去往的IP地址全写到这里
3:建立一个子链,名字叫BLACKLIST,注意,链名要大写。
#iptables -t filter -N BLACKLIST
4:下面我们要用SHELL写个脚本,这个脚本用来把黑名单里的受禁IP加到子链的拒绝规则里
#vi /usr/local/sbin/bl_vef
我随手写了个,尽供参考,脚本如下:
#!/bin/sh
while true ;do
iptables -t filter -F BLACKLIST
for ip in `cat /etc/blacklist` ;do
iptables -t filter -A BLACKLIST -S ${ip} -j drop
done
sleep 60
done
疑问1:Iptables好像没有“-S”这个参数?
疑问2:如果这个脚本没问题,那么源IP有没有用?
五、更改Iptables规则时经常要重启Iptables,这样会不会造成数据的中中断?重启时间大约10秒左右
[ 本帖最后由 llylin 于 2006-8-24 12:53 编辑 ] |
|
免费注册
发表于 2006-08-23 15:16
发表于 2006-08-23 21:50