免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 数据安全 关于FORWARD的规则疑问
12下一页
最近访问板块 发新帖
查看: 4298 | 回复: 13
打印 上一主题 下一主题

关于FORWARD的规则疑问 [复制链接]

zenglingping

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2009-08-19 16:43 |只看该作者 |倒序浏览
在使用iptables作为网关防火墙时,我使用了如下命令:

iptables -P FORWARD ACCEPT
iptables -I FORWARD -d 119.126.159.XXX -j ACCEPT

内网无法直接对119.126.159.xxx进行直接访问,请问是否理解有误?

后来,我又使用此语句,
iptables -t nat -A POSTROUTING -s $LAN -d 119.126.159.XXX -j ACCEPT

其中lan=192.168.0.0/19

但内网还是无法直接对119.126.159.xxx进行直接访问,这是为何(排除119.126.159.xxx服务器的不正常)?
flag

论坛徽章:
0
2 [报告]
发表于 2009-08-19 18:48 |只看该作者
是要做地址伪装吧
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenyx

论坛徽章:
381
CU十二周年纪念徽章 日期:2014-01-04 22:46:58CU大牛徽章 日期:2013-03-13 15:32:35CU大牛徽章 日期:2013-03-13 15:38:15CU大牛徽章 日期:2013-03-13 15:38:52CU大牛徽章 日期:2013-03-14 14:08:55CU大牛徽章 日期:2013-04-17 11:17:19CU大牛徽章 日期:2013-04-17 11:17:32CU大牛徽章 日期:2013-04-17 11:17:37CU大牛徽章 日期:2013-04-17 11:17:42CU大牛徽章 日期:2013-04-17 11:17:47CU大牛徽章 日期:2013-04-17 11:17:52CU大牛徽章 日期:2013-04-17 11:17:56
3 [报告]
发表于 2009-08-19 21:10 |只看该作者
需要打开路由,做nat
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zenglingping

论坛徽章:
0
4 [报告]
发表于 2009-08-20 08:50 |只看该作者
你说的是forward吧,这是基本的,这些都做了,因为还有较多脚本,省略了,完整如下:
  1. #### 1. Clear any existing chains ####

  3. iptables -F
  4. iptables -X
  5. iptables -Z

  7. #### 2. Setting up default policies ####

  9. iptables -P INPUT DROP
  10. iptables -P OUTPUT ACCEPT
  11. iptables -P FORWARD ACCEPT

  13. #### 3. Setting up interface lo access policies ####

  15. iptables -A INPUT -i lo -j ACCEPT
  16. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



  20. ###################################################
  21. #### PART II: Internal Server Filewall Setting ####
  22. ###################################################


  25. #### 1. Load any special modules ####

  27. modprobe ip_tables             > /dev/null 2>&1
  28. modprobe iptable_nat           > /dev/null 2>&1
  29. modprobe ip_nat_ftp            > /dev/null 2>&1
  30. modprobe ip_nat_irc            > /dev/null 2>&1
  31. modprobe ip_conntrack          > /dev/null 2>&1
  32. modprobe ip_conntrack_ftp      > /dev/null 2>&1
  33. modprobe ip_conntrack_irc      > /dev/null 2>&1
  34. modprobe tcp_syncookies        > /dev/null 2>&1

  36. #### 2. Clear NAT table rules ####

  38. iptables -F -t nat
  39. iptables -X -t nat
  40. iptables -Z -t nat

  42. iptables -t nat -P PREROUTING   ACCEPT
  43. iptables -t nat -P POSTROUTING  ACCEPT
  44. iptables -t nat -P OUTPUT       ACCEPT

  46. #### 3. Enable ip forward ####

  48. iptables -A INPUT -i $INIF -j ACCEPT

  50. echo 1 > /proc/sys/net/ipv4/ip_forward
复制代码
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
platinum

论坛徽章:
0
5 [报告]
发表于 2009-08-20 12:40 |只看该作者
你需要做 NAT,而你却没有做,或者说做的不对
做 NAT 的方法在我的教程里有示例,你可以看一下

http://linux.chinaunix.net/bbs/thread-722462-1-1.html
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zenglingping

论坛徽章:
0
6 [报告]
发表于 2009-08-21 15:38 |只看该作者
nat也做了呢。。

  1. #### Enable transparence proxy ####

  3. iptables -t nat -A PREROUTING -i eth1 -p tcp -s 0/0 --dport 80 -j REDIRECT --to-port 3128
  4. iptables -t nat -A POSTROUTING -s $LAN -p tcp -m multiport --destination-port 21,53 -o $EXTIF -j MASQUERADE
复制代码
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zenglingping

论坛徽章:
0
7 [报告]
发表于 2009-08-21 15:40 |只看该作者
原帖由 platinum 于 2009-8-20 12:40 发表
你需要做 NAT,而你却没有做,或者说做的不对
做 NAT 的方法在我的教程里有示例,你可以看一下

http://linux.chinaunix.net/bbs/thread-722462-1-1.html

你的大作去年就下载了,我的脚本很多,以上仅是基本的部分,其它应用是正常的,如网站发布,邮件等(nat)
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
platinum

论坛徽章:
0
8 [报告]
发表于 2009-08-21 17:20 |只看该作者
原帖由 zenglingping 于 2009-8-21 15:40 发表

你的大作去年就下载了,我的脚本很多,以上仅是基本的部分,其它应用是正常的,如网站发布,邮件等(nat)

和你哪年下载的没有关系,问题是你看了吗?
我的 “大作” 里不是没有例子,你看了吗?
你的 POSTROUTING 用法简直就是荒谬!

[ 本帖最后由 platinum 于 2009-8-21 17:50 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
marsaber

论坛徽章:
0
9 [报告]
发表于 2009-08-21 17:37 |只看该作者
感觉你有些规则都不知道是什么就随便用了。
iptables -t nat -A POSTROUTING -s $LAN -d 119.126.159.XXX -j ACCEPT
为什么要这么写?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zenglingping

论坛徽章:
0
10 [报告]
发表于 2009-08-22 09:24 |只看该作者

回复 #5 platinum 的帖子

以下就是最小化脚本,但是没有做任何控制,个人认为能正常运行。


  2. #### Define networks #######################

  4. #!/bin/bash
  5. PATH=/sbin:/bin:/usr/sbin:/usr/bin
  6. export PATH

  8. INIF="eth1"
  9. EXTIF="eth0"
  10. LAN="192.168.0.0/19"



  14. export EXTIF INIF LAN

  16. ############################################
  17. #### PART I: Localhost Firewall Setting ####
  18. ############################################


  21. #### 1. Clear any existing chains ####

  23. iptables -F
  24. iptables -X
  25. iptables -Z

  27. #### 2. Setting up default policies ####

  29. iptables -P INPUT DROP
  30. iptables -P OUTPUT ACCEPT
  31. iptables -P FORWARD ACCEPT

  33. #### 3. Setting up interface lo access policies ####

  35. iptables -A INPUT -i lo -j ACCEPT
  36. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT





  42. ###################################################
  43. #### PART II: Internal Server Filewall Setting ####
  44. ###################################################


  47. #### 1. Load any special modules ####

  49. modprobe ip_tables             > /dev/null 2>&1
  50. modprobe iptable_nat           > /dev/null 2>&1
  51. modprobe ip_nat_ftp            > /dev/null 2>&1
  52. modprobe ip_nat_irc            > /dev/null 2>&1
  53. modprobe ip_conntrack          > /dev/null 2>&1
  54. modprobe ip_conntrack_ftp      > /dev/null 2>&1
  55. modprobe ip_conntrack_irc      > /dev/null 2>&1
  56. modprobe tcp_syncookies        > /dev/null 2>&1

  58. #### 2. Clear NAT table rules ####

  60. iptables -F -t nat
  61. iptables -X -t nat
  62. iptables -Z -t nat

  64. iptables -t nat -P PREROUTING   ACCEPT
  65. iptables -t nat -P POSTROUTING  ACCEPT
  66. iptables -t nat -P OUTPUT       ACCEPT

  68. #### 3. Enable ip forward ####

  70. iptables -A INPUT -i $INIF -j ACCEPT

  72. echo 1 > /proc/sys/net/ipv4/ip_forward

  74. iptables -t nat -A POSTROUTING -s 0/0 -o $EXTIF -j MASQUERADE       #Urgent use

  76.        
  77. #### Access internet control list & NAT forward rules ####



  81. #######################################
  82. #### Modification/Update Date note ####
  83. #######################################
  84. #2009/08/08 created by lingping
复制代码
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP