请帮忙看一下这个iptables

ytmin

谢谢大家的解答.kevin.tan 有什么建议呢???

ytmin

原帖由 netice 于 2007-11-23 18:55 发表

qq可以使用udp协议的

默认FORWARD不是DROP了吗？那应该怎样写比较好呢？

小N哥哥

原帖由 ytmin 于 2007-11-23 19:12 发表


默认FORWARD不是DROP了吗？那应该怎样写比较好呢？

增加一个UDP的DROP?

小N哥哥

想封堵QQ用你的方法是不对的，建议用STRING模块吧。
你先看一下QQ登录的使用协议的方式。

ytmin

我不是想封ＱＱ，是想不允许上网的ip彻底不能上网．

kevin.tan

step 1:
将这句

-A POSTROUTING -s 192.168.100.0/255.255.255.0 -j MASQUERADE

改为

1. 
   
2. iptables -t nat -A POSTROUTING -s 192.168.100/24 -p tcp -o eth0 -j SNAT --to-source 202.96.186.240
   
3. # eth0我理解为你的外网网卡，也就是配置为202.96.186.240地址的
   
4. # 贴出的规则太多，看着头晕，如果错误，请改为实际的物理接口
   

复制代码

-A PREROUTING -s 192.168.100.0/255.255.255.0 -d 202.96.186.240 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

改为

1. 
   
2. iptables -t nat -A PREROUTING -s 192.168.100/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128
   

复制代码

step 2
对于你想过滤的IP，也就是不想其上网的IP，直接在filter表的FORWARD链中match 其source ip 或是source mac 地址DROP掉就行了

ytmin

谢谢你的的解答．另，我的方案是先堵再通，即默认是所有禁止，然后再根据需要开通的．上面有一些连续的ip我用了range,而其中又有一些要禁止掉的，所以才后面ＤＲＯＰ ,请问可以这样吗？


另，映射内网的telnet和ftp，正确的写法应该是什么？

[ 本帖最后由 ytmin 于 2007-11-24 13:44 编辑 ]

ytmin

改后，发现透明代理又失效了．

aitilang

你怎么改的？
把结果铁上来。。。

ytmin

今天没时间，明天上。谢谢关注。