iptables中关于网上邻居的访问设置

linuxw

SERVER用REDHAT8。0
使用IPTABLES做防火墙。
外网ETH0：192。168。0。4
内网ETH2：10。0。0。1
内网主机：10。0。0。9
外网主机：192。168。0。20
目的：实现外网主机通过网络邻居访问内网主机。

增加模块。。。。。。略
echo 1 >; /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.9 -j DNAT --to 10.0.0.9
以上方法可以达到目的，但不安全。
请教：
如果使用默认转发为DROP策略，那么应该打开什么端口，如何做。

linuxw

楼上的方法好象不行啊。
1、iptables应该只击中一个策略，所以只和FORWARD有关，而和INPUT没关系吧？
2、那几个端口是干什么用的，能介绍一下么？
3、有一个内网主机的影射地址是192.168.0.9。其他地址都写的很清楚，麻烦楼上的说清楚yourip到底是哪个地址,谢谢。

platinum

http://www.chinaunix.net/forum/viewtopic.php?t=191770
我也在问类似的问题，好象有点眉目

linuxw

楼上的方法好象不行啊。
1、iptables应该只击中一个策略，所以只和FORWARD有关，而和INPUT没关系吧？
2、那几个端口是干什么用的，能介绍一下么？
3、有一个内网主机的影射地址是192.168.0.9。其他地址都写的很清楚，麻烦楼上的说清楚yourip到底是哪个地址,谢谢。

linuxw

我已经搞定了，shinesoft说对了一半，不是INPUT链，是FORWARD链。

echo 1 >; /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -P FORWARD DROP
iptables -P INPUT DROP#为了测试不是INPUT链，我特意关闭了它
iptables -P OUTPUT DROP
iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p tcp --dport 139 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p tcp --dport 445 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p udp --dport 137 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p udp --dport 138 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p udp --dport 445 -j ACCEPT
iptables -A FORWARD -d 10.0.0.9 -p icmp -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -d 192.168.0.9 -j DNAT --to 10.0.0.9

platinum

你是跨网段的个别机器，如果是这样呢？
192.168.0.1                                                     192.168.1.1
192.168.0.2          eth0     eth1                   192.168.1.2
192.168.0.3                                                     192.168.1.3

每台机器要能在网上邻居里看到6台计算机

linuxw

你说的是路由问题吧，
我不是做路由，是防火墙。
应该不是不属于一个问题吧。

platinum

都是IPTABLES啊
路由+防火墙啊
你的实际也是路由啊，不是用了转发吗
你的CLIENT的网关是怎么设置的？不也是LINUX的地址吗

linuxw

哦，你是这样认为的。

因为我没有启动zebra,以及rip或者ospf，所以认为自己做的是防火墙而不是路由器。你认为呢？