免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1831 | 回复: 8
打印 上一主题 下一主题

[网络管理] 求助 iptables 防火墙 问题 (紧急) [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2010-05-15 22:21 |只看该作者 |倒序浏览
为什么请下以下iptables 脚本公网为什么不能通过公网IP(X.X.X.X)访问到内网的192.168.0.80:80的web页面

eth0 是对内
内网ip是 192。168。0。0/24
--------
都接在一个交换机上
----------
eth1 是对外

-----------------
#!/bin/bash

# var

my_forward_tcp=22,53,80,25,110,143,3128,8080,443
my_forward_udp=25,53,110,143
my_local_ports_tcp=21,20,53,39980,25,110,80,3128,137,139,445
my_local2_ports_tcp=8080
my_local_ports_udp=53,137,138
#my_SNAT=192.168.0.0/24
#my_DNAT=172.16.0.2:80
#ftp open zhuizong 1024+
modprobe ip_nat_ftp
#modprobe ip_conntrack_ftp ports=2121
# clear all rules

iptables -F
iptables -X
#iptables -Z (baoliu)
iptables -t nat -F
iptables -t nat -X
#iptables -t nat -Z(baoliu)

# Default rules

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# SNAT rules

iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 80 -j DNAT --to-destination 192.168.0.80:80
#iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -m iprange ! --dst-range 192.168.0.1 -p tcp --dport 80 -j REDIRECT --to 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source X.X.X.X

# FORWARD rules
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -I INPUT -p tcp --dport 8080 -j LOG --log-prefix "XXX" --log-tcp-options --log-ip-options
iptables -A OUTPUT -p tcp --dport 22 -m tos --tos 8 -j DROP
iptables -A INPUT -p icmp -m length --length 100:200 -m limit --limit 30/minute  -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp -m multiport --dports $my_local_ports_tcp -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m multiport --dports $my_local_ports_udp -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp -m multiport --dports $my_local2_ports_tcp -j ACCEPT

# FORWARD rules

#iptables -I FORWARD -p icmp -m iprange --src-range 192.168.0.2-192.168.0.254 --dst-range  192.168.0.2-192.168.0.254 -j DROP
#iptables -A FORWARD -p tcp -m iprange --dst-range 192.168.0.2-192.168.0.254  --syn -j DROP
iptables -A FORWARD -p icmp -m length --length 100:200 -m limit --limit 30/minute  -j ACCEPT
iptables -A FORWARD -p tcp --dport 5000 -j ACCEPT
iptables -A FORWARD -p udp --dport 5000 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8000 -j ACCEPT
iptables -A FORWARD -p udp --dport 8000 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED  -j ACCEPT
iptables -A FORWARD -m state --state NEW -p tcp -m multiport --dports $my_forward_tcp -j ACCEPT
iptables -A FORWARD -m state --state NEW -p udp -m multiport --dports $my_forward_udp -j ACCEPT
#iptables -I FORWARD -m state --state NEW -p icmp  -j ACCEPT

论坛徽章:
0
2 [报告]
发表于 2010-05-16 00:07 |只看该作者
为什么请下以下iptables 脚本公网为什么不能通过公网IP(X.X.X.X)访问到内网的192.168.0.80:80的web页面

访问者是公网用户还是内网用户?
iptables 策略虽然有些问题但不会对访问有影响,如果是从外网访问 X.X.X.X 应该没有问题
但前提是 192.168.0.80 的默认网关要指向 192.168.0.1

论坛徽章:
0
3 [报告]
发表于 2010-05-16 00:30 |只看该作者
本帖最后由 zzk_dandan 于 2010-05-16 00:41 编辑

哦了 谢谢您 !我的默认网关没有指对,就是内网的80机器
-----
请问我的策略哪里写的不对?

论坛徽章:
0
4 [报告]
发表于 2010-05-16 12:21 |只看该作者
iptables -A OUTPUT -p tcp --dport 22 -m tos --tos 8 -j DROP
现在路由器已经不认这个了,设了也没用

iptables -A INPUT -p icmp -m length --length 100:200 -m limit --limit 30/minute  -j ACCEPT
这里 limit 的用法不对,请参考我的 PDF 教程
另外,即使用法对了,逻辑上也说不通。这样设置是何用途?我感觉就是让网络变慢或不通,没其他用处

论坛徽章:
0
5 [报告]
发表于 2010-05-16 12:22 |只看该作者
另外,再教你一个 192.168.0.80 不用设置网关,或者设置错误网关也能访问的办法

iptables -t nat -A POSTROUTING -d 192.168.0.80 -j SNAT --to 192.168.0.1

论坛徽章:
0
6 [报告]
发表于 2010-05-17 00:26 |只看该作者
谢谢你的回答!
我只是为了测试而已!

论坛徽章:
0
7 [报告]
发表于 2010-05-17 00:28 |只看该作者
你有没有Linux TC 之类的PDF或者文档?
我想学习一下。

论坛徽章:
0
8 [报告]
发表于 2010-05-17 00:28 |只看该作者
路过 学习学习   搂主问题解决了没?

论坛徽章:
0
9 [报告]
发表于 2010-05-17 00:40 |只看该作者
解决了 呵呵!
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP