请帮忙看一下这个iptables

hyran

规则顺序很重要，建议一步一步排除

tingfengmanbu

LZ能把结果贴出来么，我好久没来了，今天一来就看到2个不错的帖子，感觉很开心，现在关注中，
不过建议LZ的iptables写的简练一些，有时候写的太复杂很乱的，就算出错也不好找
再此希望LZ早点解决问题

ytmin

原帖由 tingfengmanbu 于 2007-11-27 14:25 发表
LZ能把结果贴出来么，我好久没来了，今天一来就看到2个不错的帖子，感觉很开心，现在关注中，
不过建议LZ的iptables写的简练一些，有时候写的太复杂很乱的，就算出错也不好找
再此希望LZ早点解决问题

还放在一边没时间解决呢．晚上的时候解决一下，可以说说你的建议．

springwind426

建议：

因为用了透明代理，因此，对于那些想绝对禁止的IP，最好在nat表的PREROUTING链中进行处理（放在最前面）

还有，有一个set的模块，对于那些离散型的IP的结合，用那个模块比较好，这样能够使得规则看起来比较简洁

ytmin

原帖由 springwind426 于 2007-11-27 16:05 发表
建议：

因为用了透明代理，因此，对于那些想绝对禁止的IP，最好在nat表的PREROUTING链中进行处理（放在最前面）

还有，有一个set的模块，对于那些离散型的IP的结合，用那个模块比较好，这样能够使得规则看 ...

哦，可以详细说说吗？请多指教了．

springwind426

因为透明代理是在prerouting链中进行重定向的，因此，如果是在FORWARD链上禁止的话，就可能有一部分访问在PREROUTING链上进行了重定向，因此就无法控制了（不过，也可以在INPUT链或者在squid中进行控制，就显示麻烦了）

至于那个set模块，是一个比较好的东西，到官方网站上看看就会了
http://ipset.netfilter.org/

tingfengmanbu

我的建议就是把所有都先关上，用那些在开，包括IP，感觉这样思路清晰些，大家看着也舒服，个人感觉，很关切这个帖子

ytmin

原帖由 tingfengmanbu 于 2007-11-28 11:26 发表
我的建议就是把所有都先关上，用那些在开，包括IP，感觉这样思路清晰些，大家看着也舒服，个人感觉，很关切这个帖子

现在我做的就是默认把ＦＯＲＷＡＲＤ链ＤＲＯＰ的。由于是刚开始，所以也不能把所有都DROP掉。