路由中iptables问题。。。

chuizx

在iptables规则中某网段的机器禁止访问外网，这样可以。我想只允许某网段的机器允许访问某一网站，其他的网站不允许访问，但是网段的机器能正常上网，好像iptables在这里没有起作用。我用的是NAT表。以下是部分代码：  高手指点下啊。。。
if [ "$f1" = "ALL" ]; then  //所有IP的时候
        ip1=`/bin/echo $LAN1_IPADDR | /usr/bin/cut -d '.' -f1`
                                ip2=`/bin/echo $LAN1_IPADDR | /usr/bin/cut -d '.' -f2`
                                ip3=`/bin/echo $LAN1_IPADDR | /usr/bin/cut -d '.' -f3`
                                ip4="0/24"
                                ip_net="$ip1.$ip2.$ip3.$ip4"
                                if [ "$f3" = "refuse" ]; then  //禁止访问的网站
                                                    iptables -t nat -I $WEBPAGE_CHAIN -s $ip_net -d $f4 -j DROP 2>/dev/null
                    else
                            iptables -t nat -I $WEBPAGE_CHAIN -s $ip_net -d $f4 -j ACCEPT 2>/dev/null                    //   允许访问网站   问题就除在这 起不到作用（所有的网站还是可以访问）     
                    fi
    elif [ "$f1" = "ONE" ]; then  //单IP的时候
                    IPADDR="$f2"
                    if [ "$f3" = "refuse" ]; then
                                                    iptables -t nat -I $WEBPAGE_CHAIN -s $f2 -d $f4 -j DROP 2>/dev/null
                    else
                                      #iptables -t nat -I  $WEBPAGE_CHAIN -s $f2 -d $f4 -j ACCEPT  2>/dev/null
                                 
                    fi

ssffzz1

iptables -I FORWARD -j DROP
iptables -I FORWARD -d www.baidu.com -j ACCEPT
iptables -I FORWARD -d 192.168.0.0/24 -j ACCEPT
iptables -I FORWARD -p udp -j ACCEPT

这样试试。

ssffzz1

还是用iptables-save直接帖结果吧。

还有你定义目标网站用的是域名还是IP。

yhliu

怎么可能会在Nat表里做呢。在filter表的forward里做啊。
如 -a FORWARD　－s 192.168.X.X -d www.XXX.com -j ACCEPT

yhliu

最主要的是这是一个包的转发问题，怎么可能在Nat里做。

chuizx

:wink:

chuizx

我是这样写的：iptables -A FORWARD　－s 192.168.0.230 -d www.baidu.com -j ACCEPT,  但是其他网站还是可以访问。FORWARD的策略(policy)为DROP。

ssffzz1

叫你帖iptables-save咋就这么难呢。
俺有不可能害了你。

chuizx

我刚刚接触iptables，不怎么懂你的意识哈。。再细说下，谢谢！

ssffzz1

哦。贴出iptables-save这个命令的执行结果。