iptables问题，请各位大哥帮忙

commissar

eth0是内网      eth1是外网

规则1：修改默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP

规则2：允许内部至外网转发的端口
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT

规则3：允许外网访问内部邮件服务器
iptables -A FORWARD -d 192.168.1.1 -i eth0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -d 192.168.1.1 -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -d 192.168.1.1 -i eth0 -p tcp --dport 80 -j ACCEPT

规则4：
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

我的本意是想首先拒绝内网和外网之间的所有连接，然后只允许内部用户上网，收发邮件，以及外部用户访问和收发公司邮件，最后小弟做到这个地方，碰到了
一点问题，希望各位大哥给于帮助，谢谢！
1、如果不使用规则4，可以做到内部用户只能访问网页和收发邮件，但是外部用户不能收发公司内部服务器邮件。
2、如果使用了规则4，外部用户可以访问以及收发公司内部服务器的邮件，但是我无法控制公司内部用户下载和BT。

希望各位大哥能告诉我不使用规则4，应该怎么做，使用了规则4，又该怎么做，最好能说明原因，再次感谢。


iptables -I FORWARD -p tcp --dport 1024: -j DROP
最后还有1个问题，为什么我使用了上面这条规则之后，网页无法打开?

marsaber

允许外网访问内部邮件服务器,要用到端口转发,你看你整的这是啥啊?
举个例子:
iptables -t nat -A PREROUTING -p tcp -d 外网IP --dport 110 -j DNAT --to 192.168.1.1:110

感觉你对iptables很生，真的，你把iptable的资料好好看看吧。
你这台服务器是网关吗？这样的规则能使内网用户上网吗？

commissar

iptables -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80
iptables -A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.1:25
iptables -A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.1:110
iptables -A PREROUTING -i eth1 -p tcp -m tcp --dport 53 -j DNAT --to-destination 218.108.248.200:53
iptables -A PREROUTING -i eth1 -p tcp -m tcp --dport 53 -j DNAT --to-destination 218.108.248.200:53

这是我发布内部服务器的命令，但是用了iptables -P FORWARD DROP之后外部就无法访问内部的邮件服务器了。

commissar

不好意思，上面的命令在iptables后掉了-t nat真实的命令应该是
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:80
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.1:25
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.1:110
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 53 -j DNAT --to-destination 218.108.248.200:53
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 53 -j DNAT --to-destination 218.108.248.200:53

commissar

我这台服务器就是网关，而且内部用户绝对可以上网，不信你可以用我的这些规则去试下。

liangkazhe

我来 学习一下！！问题 应该要一步一步来吧！！

commissar

来人救火啊，快来帮帮我

commissar

哭死，到现在还没有人帮忙。

luckyong

ip 应用是双向的,在对INPUT和FORWARD 链设为默认拒绝.在开应用时要考虑反向允许.

ThinkPad_

全部drop的规则放后面，这跟ISA是一样的。