关于配置企业级iptables 的问题！

lm870403

我的iptables的系统是CENTOS4.8 两块网卡：eth0:192.168.0.254  eth1:118.242.18.51
vi /etc/rc.d/iptables . 写入如下：

IPTABLES=/sbin/iptables
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
$IPTABLES -F -t filter
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -X -t filter
$IPTABLES -X -t nat
$IPTABLES -X -t mangle
$IPTABLES -Z -t filter
$IPTABLES -Z -t nat
$IPTABLES -Z -t mangle
$IPTABLES -t filter -P INPUT     DROP
$IPTABLES -t filter -P OUTPUT    ACCEPT
$IPTABLES -t filter -P FORWARD   DROP
$IPTABLES -t nat -P PREROUTING   ACCEPT
$IPTABLES -t nat -P POSTROUTING  ACCEPT
$IPTABLES -t nat -P OUTPUT       ACCEPT
$IPTABLES -t mangle -P INPUT     ACCEPT
$IPTABLES -t mangle -P OUTPUT    ACCEPT
$IPTABLES -t mangle -P FORWARD   ACCEPT

$IPTABLES -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A INPUT -s 118.242.18.51 -p icmp -j ACCEPT
$IPTABLES -A FORWARD  -p icmp -j ACCEPT
$IPTABLES -A INPUT -s 192.168.0.0/24  -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to 118.242.18.51        

$IPTABLES -A FORWARD -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT     
$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD  -p icmp -j ACCEPT
$IPTABLES -A INPUT  -p tcp --dport 22 -j ACCEPT

##开启QQ端口
$IPTABLES -A FORWARD -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 443 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 8000 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 8000 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 4000 -j ACCEPT


执行后 ，我觉得 80、53 端口都允许中转了 应该可以上网吧 但是结果是不能上网！但是可以聊QQ！！ 这是什么原因呢？ 是不是要要开放什么端口？
但是如果将 FORWARD 的默认规则由 DROP 改为 ACCEPT 就可以上网 ，也可以聊Q，这样防火墙就失效了！！那就没意思了， 希望大虾们、高手们帮我看看 该怎么设置才能上网啊？

衷心在此谢谢了！

[~]#iptables-save   
# Generated by iptables-save v1.2.11 on Thu Nov 19 22:18:33 2009
*nat
REROUTING ACCEPT [19125:2019827]
OSTROUTING ACCEPT [4:254]
:OUTPUT ACCEPT [4:254]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 118.242.16.51
COMMIT
# Completed on Thu Nov 19 22:18:33 2009
# Generated by iptables-save v1.2.11 on Thu Nov 19 22:18:33 2009
*filter
:INPUT DROP [56:2748]
:FORWARD DROP [2068:337551]
:OUTPUT ACCEPT [2287:211975]
-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 118.242.16.51 -p icmp -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 1863 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 8000 -j ACCEPT
-A FORWARD -p udp -m udp --dport 8000 -j ACCEPT
-A FORWARD -p udp -m udp --dport 4000 -j ACCEPT
COMMIT
# Completed on Thu Nov 19 22:18:33 2009
# Generated by iptables-save v1.2.11 on Thu Nov 19 22:18:33 2009
*mangle
REROUTING ACCEPT [30761:3110714]
:INPUT ACCEPT [7477:642983]
:FORWARD ACCEPT [5042:624204]
:OUTPUT ACCEPT [2287:211975]
OSTROUTING ACCEPT [5261:498628]
COMMIT

[ 本帖最后由 lm870403 于 2009-11-19 22:43 编辑 ]

lxc521

把iptables-save贴上来看看

platinum

原帖由 lm870403 于 2009-11-19 16:28 发表
但是如果将 FORWARD 的默认规则由 DROP 改为 ACCEPT 就可以上网 ，这样防火墙就失效了！！那就没意思了， 希望大虾们、高手们帮我看看 该怎么设置才能上网啊？

FORWARD 链 state 问题

lm870403

FORWARD 链 state 问题 ? 那具体应该怎么写呢？

platinum

像脚本里 INPUT 链对 state 那样处理，FORWARD 也同理

lxc521

在FORWARD最前面加
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

lm870403

非常感谢！！！！！

Godbach

原帖由 lxc521 于 2009-11-21 11:06 发表
在FORWARD最前面加
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

通常NEW状态是需要单独处理的吧。

renxiao2003

玩得真明白啊。我没玩过。简单的行。复杂的就迷糊了。