论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2007-07-19 23:36 |只看该作者 |倒序浏览

我在脚本中要实现一个策略，forward的规则上允许来自 172.16.1.0/24 网段，目的地除以下三个vlan的任何目的地可达，
三个vlan 为 192.168.1.0/24  192.168.2.0/24 192.168.3.0/24

我看了iptables 的语法，反向匹配用！后面加条件即可实现。试了如下格式总是不行，不知道正确的设置应该如何写。请教大家，谢谢。

脚本中相关内容如下：
vlan1="192.168.1.0/24"
vlan2="192.168.2.0/24"
vlan2="192.168.3.0/24"

iptables -A FORWARD  -s 172.16.1.0/24  -d ! $vlan1 -j ACCEPT    ####这句测试是没问题的

#####下面这两条这样写一直提示有问题###########
iptables -A FORWARD  -s 172.16.1.0/24 -d  ! $vlan1,$vlan2,$vlan3 -j ACCEPT
iptables -A FORWARD  -s 172.16.1.0/24 -d  ! $vlan1,$vlan2,$vlan3 -j ACCEPT

文库|博客

ssffzz1

广告杀手

论坛徽章:: 5

2楼 [报告]

发表于 2007-07-20 08:14 |只看该作者

分开3条写，你这样写条目之间是“与”关系，根本无法匹配。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

cmhuaer

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2007-07-20 09:40 |只看该作者

原帖由 ssffzz1 于 2007-7-20 08:14 发表
分开3条写，你这样写条目之间是“与”关系，根本无法匹配。

我是考虑到分开三条写又会跟策略有冲突

第一条： iptables -A FORWARD  -s 172.16.1.0/24  -d ! $vlan1 -j ACCEPT
第二条： iptables -A FORWARD  -s 172.16.1.0/24  -d ! $vlan2 -j ACCEPT
第三条： iptables -A FORWARD  -s 172.16.1.0/24  -d ! $vlan3 -j ACCEPT

上面分开写的情况会出现，第一条已经允许了除了vlan1的forward全部通行。那我的第二条策略已经不会再起作用了，去往vlan2的数据包还是不会被拦截。

（不知道是不是我上述理解错误，麻烦指点）

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

wysilly

家境小康

论坛徽章:: 0

4楼 [报告]

发表于 2007-07-20 16:14 |只看该作者

不用一句话就直接DROP得了,用一句话的目的不就是想更方便的实现吗?
第一条： iptables -A FORWARD  -s 172.16.1.0/24  -d  $vlan1 -j DROP
第二条： iptables -A FORWARD  -s 172.16.1.0/24  -d  $vlan2 -j DROP
第三条： iptables -A FORWARD  -s 172.16.1.0/24  -d  $vlan3 -j DROP

[ 本帖最后由 wysilly 于 2007-7-20 16:16 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

zhy0414

丰衣足食

论坛徽章:: 0

5楼 [报告]

发表于 2007-07-20 16:18 |只看该作者

原帖由 cmhuaer 于 2007-7-20 09:40 发表

我是考虑到分开三条写又会跟策略有冲突

第一条： iptables -A FORWARD -s 172.16.1.0/24 -d ! $vlan1 -j ACCEPT
第二条： iptables -A FORWARD -s 172.16.1.0/24 -d ! $vlan2 -j ACCEPT
...

应该是通过FORWARD的数据会逐个匹配规则的，第一条通过了，会继续匹配第二条，这样知道所有规则结束，如果还没有匹配的按照-P规则执行。这样设可以达到你的效果

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

zhy0414

丰衣足食

论坛徽章:: 0

6楼 [报告]

发表于 2007-07-20 16:20 |只看该作者

原帖由 wysilly 于 2007-7-20 16:14 发表
不用一句话就直接DROP得了,用一句话的目的不就是想更方便的实现吗?
第一条： iptables -A FORWARD -s 172.16.1.0/24 -d $vlan1 -j DROP
第二条： iptables -A FORWARD -s 172.16.1.0/24 -d $vlan2 -j ...

向上面这样，-P规则accept，这3个drop，这样多方便，干吗要反着？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

7楼 [报告]

发表于 2007-07-20 16:41 |只看该作者

原帖由 zhy0414 于 2007-7-20 16:18 发表

应该是通过FORWARD的数据会逐个匹配规则的，第一条通过了，会继续匹配第二条，这样知道所有规则结束，如果还没有匹配的按照-P规则执行。这样设可以达到你的效果

不是这样的。我见到的所有的ACL的匹配规则都是这样的：
1、首先顺序匹配。
2、当和一条规则匹配后，就执行该规则的动作。当然打标记之类的除外，这里指的是DROP或ACCEPT等。并且后续的规则不再匹配。
3、如果没有匹配成功，则执行默认动作。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ahsiao

大富大贵

论坛徽章:: 0

8楼 [报告]

发表于 2007-07-20 16:56 |只看该作者

跟我的问题有点像哦。如果不改默认策略，有什么解决办法？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

alexann

白手起家

论坛徽章:: 0

9楼 [报告]

发表于 2007-07-21 09:38 |只看该作者

是否可以使用CIDR?汇聚一个4个C的超网，这样的话，你的192.168.0.x,1.x,2.x,3.x都会在匹配内。
iptables -A FORWARD -s 172.16.1.0/24 -d ! 192.168.0.0/22 -j ACCEPT

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

10楼 [报告]

发表于 2007-07-21 11:08 |只看该作者

原帖由 alexann 于 2007-7-21 09:38 发表
是否可以使用CIDR?汇聚一个4个C的超网，这样的话，你的192.168.0.x,1.x,2.x,3.x都会在匹配内。
iptables -A FORWARD -s 172.16.1.0/24 -d ! 192.168.0.0/22 -j ACCEPT

理论上完全可以的。实际没验证过，应该没问题的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 / 2 页下一页

返回列表

Chinaunix › 论坛 › 操作系统 › Linux系统管理 › Iptables中的反向匹配问题

[网络管理] Iptables中的反向匹配问题 [复制链接]

浏览过的版块