[网络管理] 请帮忙看一下这个iptables [复制链接]

论坛徽章:: 0

11楼 [报告]

发表于 2007-11-23 11:42 |只看该作者

另#ftp,telnet
iptables -t nat -A PREROUTING -d 202.96.186.240 -p tcp --dport 21 -j DNAT --to 192.168.100.4
iptables -A FORWARD -o eth0 -d 192.168.100.4 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.100.4 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.100.4 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth0 -d 192.168.100.4 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -t nat -A PREROUTING -d 202.96.186.240 -p tcp --dport 23 -j DNAT --to 192.168.100.4
iptables -A FORWARD -o eth0 -d 192.168.100.4 -p tcp --dport 23 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.100.4 -p tcp --sport 23 -m state --state ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -d 192.168.100.4 -p tcp --dport 23 -j SNAT --to 192.168.100.1
iptables -t nat -A POSTROUTING -d 192.168.100.4 -p tcp --dport 21 -j SNAT --to 192.168.100.1

这个端口影射在之前有这一句iptables -P FORWARD DROP
时无效。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

12楼 [报告]

发表于 2007-11-23 12:39 |只看该作者

1、在客户端测试
telnet 202.96.186.240 80
然后随便输入什么，直到出显示内容为止，把内容贴上来

2、state 模块乱用导致了“这个端口影射在之前有这一句iptables -P FORWARD DROP”，具体请参考详细资料

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ytmin

丰衣足食

论坛徽章:: 0

13楼 [报告]

发表于 2007-11-23 13:40 |只看该作者

结果如图片所示。

squid.jpg (76.13 KB, 下载次数: 33)

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ytmin

丰衣足食

论坛徽章:: 0

14楼 [报告]

发表于 2007-11-23 13:41 |只看该作者

state 模块乱用导致了“这个端口影射在之前有这一句iptables -P FORWARD DROP”，具体请参考详细资料
可以具体说说吗？？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

15楼 [报告]

发表于 2007-11-23 13:43 |只看该作者

透明代理工作正常，查其他原因吧
state 模块看具体资料吧，一句两句说不清

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ytmin

丰衣足食

论坛徽章:: 0

16楼 [报告]

发表于 2007-11-23 13:47 |只看该作者

回复 #15 platinum 的帖子

现在是正常了（一开始也正常的），可是为什么一些drop了的ip能登陆上qq??另，像第一页所写的脚本，顺序有问题吗？我反复重起，然后iptables -nL看过，有点差别。

[ 本帖最后由 ytmin 于 2007-11-23 13:51 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

阿辉

小富即安

论坛徽章:: 0

17楼 [报告]

发表于 2007-11-23 14:05 |只看该作者

-s 192.168.100.0/255.255.255.0 -d 202.96.186.240 这个条件应该不会出现吧？感觉有冲突，你去掉-d 202.96.186.240OK，应该是这个问题。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lixiao0617

稍有积蓄

论坛徽章:: 0

18楼 [报告]

发表于 2007-11-23 14:05 |只看该作者

这一句iptables -A PREROUTING -t nat -p tcp -s 192.168.100.0/24 -d 202.96.186.240 --dport 80 -j REDIRECT --to-ports 3128，

应该去掉制定的目标地址的，因为是对192.168.100.0这个网段做代理设置，你做了对202.96.186.240后，后边的deny any 就把不是202.96.186.240的丢弃了，其他的看你的日志，分析下

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

kevin.tan

家境小康

论坛徽章:: 0

19楼 [报告]

发表于 2007-11-23 14:18 |只看该作者

原帖由 ytmin 于 2007-11-23 11:16 发表
是静态的，我没用ＳＮＡＴ．

就算是静态的，也不是说就可以不SNAT，难道你有一对一的公网IP？其实MASQUERDE也是NAT，
建议楼主搞清楚MASQUERDE和SNAT的区别和使用场合。

看你的NAT表，真是有些迷惑,

*nat
REROUTING ACCEPT [8594:1826625]
OSTROUTING ACCEPT [14:892]
:OUTPUT ACCEPT [23:1648]
-A PREROUTING -s 192.168.100.0/255.255.255.0 -d 202.96.186.240 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -j MASQUERADE
COMMIT

[ 本帖最后由 kevin.tan 于 2007-11-23 14:21 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

netice

白手起家

论坛徽章:: 0

20楼 [报告]

发表于 2007-11-23 18:55 |只看该作者

表现为iptables -I FORWARD -p tcp -s 192.168.100.65 -j DROP这个，居然可以登陆qq.

qq可以使用udp协议的

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

123 4 / 4 页下一页

返回列表

Chinaunix › 论坛 › 操作系统 › Linux系统管理 › 请帮忙看一下这个iptables