- 论坛徽章:
- 0
|
1可用积分
哪位大虾能帮忙把下面的教本做一下注释, 最好是每行都注释一下,谢谢了!~~~ 小弟的机器有两块网卡,eth0是192.168.32.21,eth1是10.0.0.21 , 现在跑完这个脚本后从其他机器ping 192.168.32.21就不通了,而10.0.0.21是可以ping通的, 我不懂iptables的语法,请各位大虾帮忙看一下,谢谢!!~~~
#!/bin/bash
PRIVATE=192.168.32.0/24
LOOP=127.0.0.1
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -s $LOOP -j DROP
iptables -A FORWARD -i eth0 -s $LOOP -j DROP
iptables -A INPUT -i eth0 -d $LOOP -j DROP
iptables -A FORWARD -i eth0 -d $LOOP -j DROP
iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
iptables -A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o eth0 -j DROP
iptables -A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP
iptables -A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP
iptables -A FORWARD -s ! $PRIVATE -i eth1 -j DROP
iptables -A INPUT -s $LOOP -j ACCEPT
iptables -A INPUT -d $LOOP -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp --dport http -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -o eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s $PRIVATE -o eth0 -j MASQUERADE |
最佳答案
查看完整内容
既然只是 ping 而已,只看 INPUT 與 OUTPUT 就好,然後丟掉不相關的:很明顯的配置結論:你都是給 private ip,我猜你的 client 端 ip 不是 192.168.0.0/16, 要不然就 10.0.0.0/8 範圍內 ip。而這個 rule 來看透過 eth0 傳入介面封包規則來看就拒絕禁止存取,所以您怎麼可能可以 ping 這台機器呢 ?若你要每個 rule 說明,個人建議你可以去網絡版置頂文章,先把白金那篇玩 iptables 講義文件與錄音聽過一次,另外配合閱讀 iptables 設 ...
|