免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 网络技术 路由中iptables问题。。。
123下一页
最近访问板块 发新帖
查看: 19040 | 回复: 28
打印 上一主题 下一主题

路由中iptables问题。。。 [复制链接]

chuizx

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2008-08-13 17:35 |显示全部楼层 |倒序浏览
5可用积分
在iptables规则中某网段的机器禁止访问外网,这样可以。我想只允许某网段的机器允许访问某一网站,其他的网站不允许访问,但是网段的机器能正常上网,好像iptables在这里没有起作用。我用的是NAT表。以下是部分代码:  高手指点下啊。。。
if [ "$f1" = "ALL" ]; then  //所有IP的时候
        ip1=`/bin/echo $LAN1_IPADDR | /usr/bin/cut -d '.' -f1`
                                ip2=`/bin/echo $LAN1_IPADDR | /usr/bin/cut -d '.' -f2`
                                ip3=`/bin/echo $LAN1_IPADDR | /usr/bin/cut -d '.' -f3`
                                ip4="0/24"
                                ip_net="$ip1.$ip2.$ip3.$ip4"
                                if [ "$f3" = "refuse" ]; then  //禁止访问的网站
                                                    iptables -t nat -I $WEBPAGE_CHAIN -s $ip_net -d $f4 -j DROP 2>/dev/null
                    else
                            iptables -t nat -I $WEBPAGE_CHAIN -s $ip_net -d $f4 -j ACCEPT 2>/dev/null                    //   允许访问网站   问题就除在这 起不到作用(所有的网站还是可以访问)     
                    fi
    elif [ "$f1" = "ONE" ]; then  //单IP的时候
                    IPADDR="$f2"
                    if [ "$f3" = "refuse" ]; then
                                                    iptables -t nat -I $WEBPAGE_CHAIN -s $f2 -d $f4 -j DROP 2>/dev/null
                    else
                                      #iptables -t nat -I  $WEBPAGE_CHAIN -s $f2 -d $f4 -j ACCEPT  2>/dev/null
                                 
                    fi
路由器, 路由器
chuizx

论坛徽章:
0
2 [报告]
发表于 2008-08-14 13:05 |显示全部楼层

CFW_CHAIN

:wink:
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chuizx

论坛徽章:
0
3 [报告]
发表于 2008-08-14 16:48 |显示全部楼层

回复 #3 yhliu 的帖子

我是这样写的:iptables -A FORWARD -s 192.168.0.230 -d www.baidu.com -j ACCEPT,  但是其他网站还是可以访问。FORWARD的策略(policy)为DROP。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chuizx

论坛徽章:
0
4 [报告]
发表于 2008-08-15 09:19 |显示全部楼层

回复 #7 ssffzz1 的帖子

我刚刚接触iptables,不怎么懂你的意识哈。。再细说下,谢谢!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chuizx

论坛徽章:
0
5 [报告]
发表于 2008-08-15 10:15 |显示全部楼层

回复 #9 ssffzz1 的帖子

我是用SecureCRT登入路由上操作的,打这个命令后报没有这个命令。请问楼上的,iptables-save出来的结果和本帖的问题有什么联系吗?谢谢!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chuizx

论坛徽章:
0
6 [报告]
发表于 2008-08-15 10:44 |显示全部楼层

回复 #9 ssffzz1 的帖子

Chain FORWARD (policy DROP)
target     prot opt source               destination         
sysfw      all  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.0.0/24       anywhere            state NEW
ACCEPT     all  --  220.181.37.55        192.168.0.230      
ACCEPT     all  --  220.181.6.6          192.168.0.230      
ACCEPT     all  --  192.168.0.230        220.181.6.6         
ACCEPT     all  --  192.168.0.230        220.181.37.55      

Chain INPUT (policy DROP)
target     prot opt source               destination         
cfirewall  all  --  anywhere             anywhere            
sysfw      all  --  anywhere             anywhere            state NEW
re-admin   all  --  anywhere             anywhere            
lo-admin   all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain cfirewall (1 references)
target     prot opt source               destination         

Chain lo-admin (1 references)
target     prot opt source               destination         
ACCEPT     all  --  192.168.0.0/24       anywhere            

Chain p2pfw (0 references)
target     prot opt source               destination         

Chain re-admin (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh

Chain sysfw (2 references)
target     prot opt source               destination         
DROP       udp  --  anywhere             anywhere            udp dpts:135:netbios-ssn
DROP       tcp  --  anywhere             anywhere            tcp dpts:135:netbios-ssn
DROP       tcp  --  anywhere             anywhere            tcp dpt:445
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chuizx

论坛徽章:
0
7 [报告]
发表于 2008-08-15 10:47 |显示全部楼层

回复 #12 chuizx 的帖子

谢谢 我试试。。

[ 本帖最后由 chuizx 于 2008-8-15 10:48 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chuizx

论坛徽章:
0
8 [报告]
发表于 2008-08-15 10:51 |显示全部楼层

回复 #15 ssffzz1 的帖子

sysfw      all  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.0.0/24       anywhere            state NEW

因为这个的关系,因此你想阻止对某个外网地址的访问有时候会不成功。


这个我不知道是做什么的,不好删除。那有没有其他办法能行呢?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chuizx

论坛徽章:
0
9 [报告]
发表于 2008-08-15 10:53 |显示全部楼层

回复 #16 ssffzz1 的帖子

iptables -I FORWARD -s 192.168.0.230 -d www.baidu.com -j ACCEPT

你这样来加试试。

这个我试过,结果所有网站都可以上
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chuizx

论坛徽章:
0
10 [报告]
发表于 2008-08-15 10:57 |显示全部楼层

回复 #19 linux_admin 的帖子

正在试哈 。。。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP