Chinaunix

标题: 再问一个iptables问题 [打印本页]

作者: jiang89f 时间: 2005-12-22 13:49
标题: 再问一个iptables问题
echo \"1\" > /proc/sys/net/ipv4/ip_forward\r\niptables -F\r\nmodprobe ip_tables\r\nmodprobe ip_nat_ftp\r\n\r\niptables -A INPUT -p TCP --dport 22 -j ACCEPT\r\n\r\n\r\niptables -t nat -A POSTROUTING -s 172.16.00/16 -j SNAT --to-source 221.8.31.61\r\n \r\niptables -t nat -A PREROUTING -p tcp -d 221.8.31.61 --dport 80 -j DNAT --to 172.16.0.5\r\niptables -t nat -A POSTROUTING -p tcp -s 172.16.0.5 --sport 80 -j SNAT --to 221.8.31.61\r\n\r\niptables -P INPUT DROP\r\niptables -P FORWARD DROP\r\n我现在想让局域网内的所有计算机只能访问外网的80，还应加什么，为什么我加上\r\niptables -P INPUT DROP\r\n后，域域网上网就不好用了呢，而且那个web(172.16.0.5)转发也不好使了\r\n如果去了iptables -P FORWARD DROP\r\n就好用了，看了好多例子，没有看明白。谢谢各位

作者: zhang21cnboy 时间: 2005-12-22 13:58
你把进来的包，除了端口22的都干掉了，那肯定不能了撒，记住了，当你访问外边的时候，出去一次，一位也要进来至少一次撒，光能出去，不能进来，那是不行的。\r\n\r\n你可以把已经已经建立连接的包都让通过哈

作者: admincai 时间: 2005-12-22 15:28
多谢 platinum　提供的参考资料，太棒拉，谢谢

作者: jiang89f 时间: 2005-12-23 08:30
可是这个时候22是可以访问的，我问的是为什么转发不好用了呢？？？\r\n那个文档看了，不是很明白，我很少用iptables

作者: jiang89f 时间: 2005-12-23 13:31
呵呵，可能说的不太明白，这样写一下\r\necho \"1\" > /proc/sys/net/ipv4/ip_forward\r\niptables -F\r\nmodprobe ip_tables\r\nmodprobe ip_nat_ftp\r\niptables -t nat -A POSTROUTING -s 172.16.00/16 -j SNAT --to-source 221.8.31.61\r\n现在内网用户可以上网，而且没有限制\r\n我现在不想让内网用户什么都访问只允许访问80端口，应如何加入限制，会的哥们帮一下忙

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)