Chinaunix
标题:
请大侠看我的iptables设置中的几条规则多不多余?
[打印本页]
作者:
youthdating
时间:
2012-03-25 14:40
标题:
请大侠看我的iptables设置中的几条规则多不多余?
一台NAT主机,两个网卡,一个对外WANIP,一个对内INTIP。
两台服务器,一台数据库DATAIP,一台WEB服务器WEBIP。
要求:1、外网访问WANIP、DATAIP,DNAT到WEBIP、DATAIP。1、内网的DATAIP和WEBIP及NAT主机均能访问外网。
具体iptables:
1、nat表:
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 WANIP tcp dpt
x to:WEBIP
x
DNAT tcp -- 0.0.0.0/0 WANIP tcp dpt
xx to
ATAIP
xx
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.0.0/24 0.0.0.0/0 to:WANIP ####
这句需要不需要?如果不需要,好像内网上不了外网。
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
2、filter表
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 DATAIP tcp dpt
xx
ACCEPT tcp -- 0.0.0.0/0 WEBIP tcp dpt
x
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ####
这句需要不需要?如果不需要,好像内网上不了外网。
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
作者:
youthdating
时间:
2012-03-25 14:48
在forward 中的最后一行中,条件是:If input interface is 内网卡 and output interface is 外网卡
作者:
marsaber
时间:
2012-03-25 18:09
见:
http://bbs.chinaunix.net/thread-3690676-1-1.html
作者:
dbsrv
时间:
2012-03-25 18:19
本帖最后由 dbsrv 于 2012-03-25 18:24 编辑
POSTROUTING那个SNAT必须有,这是内网地址转换为外部地址的策略。
FORWARD第4行也必须有,但source范围可以定义到具体主机或某一子网,比如
ACCEPT all -- 10.1.1.11/32 0.0.0.0/0
因为默认策略是DROP,如果没有这行,所有的行为都会由默认策略来处理,统统DROP。
如果嫌烦,那就-P FORWARD ACCEPT最省事了。
作者:
marsaber
时间:
2012-03-26 09:14
楼上的精细,我竟然没有注意到FORWARD是DROP的。
作者:
dbsrv
时间:
2012-03-29 19:20
回复
5#
marsaber
因为我的习惯就是FORWARD默认DROP……
欢迎光临 Chinaunix (http://bbs.chinaunix.net/)
Powered by Discuz! X3.2