Chinaunix

标题: 请大侠看我的iptables设置中的几条规则多不多余？ [打印本页]

作者: youthdating 时间: 2012-03-25 14:40
标题: 请大侠看我的iptables设置中的几条规则多不多余？
一台NAT主机，两个网卡，一个对外WANIP，一个对内INTIP。
两台服务器，一台数据库DATAIP，一台WEB服务器WEBIP。
要求：1、外网访问WANIP、DATAIP，DNAT到WEBIP、DATAIP。1、内网的DATAIP和WEBIP及NAT主机均能访问外网。
具体iptables：
1、nat表：
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 WANIP tcp dpt

x to:WEBIP

x
DNAT tcp -- 0.0.0.0/0 WANIP tcp dpt

xx to

ATAIP

xx

Chain POSTROUTING (policy ACCEPT)
target    prot opt source             destination
SNAT    all  --  192.168.0.0/24    0.0.0.0/0          to:WANIP                                        ####这句需要不需要？如果不需要，好像内网上不了外网。
Chain OUTPUT (policy ACCEPT)
target    prot opt source             destination

2、filter表
Chain INPUT (policy DROP)
target    prot opt source             destination
ACCEPT    all  --  0.0.0.0/0          0.0.0.0/0          state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target    prot opt source             destination
ACCEPT    tcp  --  0.0.0.0/0          DATAIP                tcp dpt

xx
ACCEPT tcp -- 0.0.0.0/0 WEBIP tcp dpt

x
ACCEPT    all  --  0.0.0.0/0          0.0.0.0/0             state RELATED,ESTABLISHED
ACCEPT    all  --  0.0.0.0/0          0.0.0.0/0                                                                ####这句需要不需要？如果不需要，好像内网上不了外网。

Chain OUTPUT (policy ACCEPT)
target    prot opt source             destination

作者: youthdating 时间: 2012-03-25 14:48
在forward 中的最后一行中，条件是：If input interface is 内网卡 and output interface is 外网卡

作者: marsaber 时间: 2012-03-25 18:09
见：http://bbs.chinaunix.net/thread-3690676-1-1.html

作者: dbsrv 时间: 2012-03-25 18:19
本帖最后由 dbsrv 于 2012-03-25 18:24 编辑

POSTROUTING那个SNAT必须有，这是内网地址转换为外部地址的策略。

FORWARD第4行也必须有，但source范围可以定义到具体主机或某一子网，比如
ACCEPT all -- 10.1.1.11/32 0.0.0.0/0
因为默认策略是DROP，如果没有这行，所有的行为都会由默认策略来处理，统统DROP。
如果嫌烦，那就-P FORWARD ACCEPT最省事了。

作者: marsaber 时间: 2012-03-26 09:14
楼上的精细，我竟然没有注意到FORWARD是DROP的。

作者: dbsrv 时间: 2012-03-29 19:20
回复 5# marsaber

因为我的习惯就是FORWARD默认DROP……

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)