配置iptables遇到的疑惑，希望高手能帮忙解答一下。

marsaber

你看吧！
如果你根本就不需要远程管理，一直在虚拟控制台下操作，针对本机的DROP就DROP吧！

ji.hf_space

我还想问一下，我这么配置之后还有什么安全隐患吗？能达到那个目的吧，就是内网用户可以通过80和443端口访问Internet，是通过nat好一点还是通过forward好一些，他们各自的利弊是什么？而外网无法访问内网，并且内网与外网都可以访问DMZ吗？
还有没有其他的安全隐患了。

cubzsd

本来我想把我的策略发给你看看的，我用的默认也是DROP，可惜LINUX硬盘坏了，文件读取不了，可是外网还能上，系统还在跑，靠牛B

[ 本帖最后由 cubzsd 于 2009-3-16 16:08 编辑 ]

cubzsd

首先给你个思路不知道我说的对不对，如果错了希望大家指点
我认为所有的包必经2个链，即INPUT和FORWARD，所以这2个链的默认规则做DROP就可以了，其余链用默认的放行，少规则，效率应该会高点，没必要所有的路全部先堵死，只要并经之路做检查就OK对否

marsaber

原帖由 ji.hf_space 于 2009-3-16 14:47 发表
我还想问一下，我这么配置之后还有什么安全隐患吗？能达到那个目的吧，就是内网用户可以通过80和443端口访问Internet，是通过nat好一点还是通过forward好一些，他们各自的利弊是什么？而外网无法访问内网，并且 ...

从你规则上看，你是将192.168.0.1上的http和https转发到外网，而不是内网用户可以通过80和443端口访问Internet。

SMEWL

LZ第三步的命令能执行吗？FILTER链怎么可以用NAT的GETTAR呢？第二步中把访问各服务器的包都转给了防火墙自己的DMZ口了，这是要做什么呢？怕是实际不了你的愿望。。。。。

marsaber

原帖由 SMEWL 于 2009-3-17 08:00 发表
LZ第三步的命令能执行吗？FILTER链怎么可以用NAT的GETTAR呢？第二步中把访问各服务器的包都转给了防火墙自己的DMZ口了，这是要做什么呢？怕是实际不了你的愿望。。。。。

LZ的想法确实有些怪异。
应该是思路没有理清、概念没有搞清导致的吧。
他的规则，我不敢看，怕疯掉。

marsaber

已经建议他使用几个虚拟机测试了，估计很快就会出结果了。

liu2g

呵呵, 怎么用FORWARD来做SNAT了, 还没搞清楚每条链的用法吧;
而且所有的链都DROP了, 就靠这几条规则估计是不行的吧, 在DNAT和SNAT之后, FORWARD, POSTROUTING, PREROUTING也要有相应的规则包才能转发, 要不就全都DROP了.

cubzsd

原帖由 liu2g 于 2009-3-18 12:20 发表
呵呵, 怎么用FORWARD来做SNAT了, 还没搞清楚每条链的用法吧;
而且所有的链都DROP了, 就靠这几条规则估计是不行的吧, 在DNAT和SNAT之后, FORWARD, POSTROUTING, PREROUTING也要有相应的规则包才能转发, 要不就全 ...

恩，原来LZ是菜鸟啊，像你这样基本概念都不清楚的，别拿生产环境做试验，你基础都不懂，到时候出了问题你根本没能力搞定，没能力就用现成产品，用CISCO,或者H3C，或者NETSCREEN产品做设置，你根本不清楚IPTABLES转发策略，你的规则运行都不能通过还谈什么调试呢。你搞的网络自己都搞不清楚是语法造成的问题，还是IPTABLES包控制流的问题，自己找3台PC先玩半年再说吧