免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: nettx
打印 上一主题 下一主题

[网络管理] 【讨论】iptables中的疑难 [复制链接]

论坛徽章:
0
21 [报告]
发表于 2007-05-19 14:40 |只看该作者
原帖由 ssffzz1 于 2007-5-18 17:13 发表于 17楼  


也许你已经看了N吨书了,相信一个20多岁的人吃过的饭也有N-1吨了。正因为资料太多了,也许你没看到关于OUTPUT链的资料。的确OUTPUT只是针对本机的,对内部网络的数据流是没有任何关系的。


我不明白你们怎么把"OUTPUT只是针对本机”和"内部网络的数据流是没有任何关系"扯到一起来.
没错,OUTPUT是只负责本机数据外出控制,请注意“本机”是什么机?既然“本机”一头接的是内网,另一头接的是外网,也就是说内网的数据要通过“本机”出去,那当然这些数据要通过“本机”OUTPUT链的检查,这是无可质疑的。

下面来分析一下为什么iptables -A OUTPUT -d 202.xx.xx.xx -j DROP以后为何内网用户还是可以访问那个地址?
很容易解释,在OUTPUT链在执行检查时,已经先有规则匹配ACCEPT了,举个例说,
如果先有一条规则是
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
那么现在试图访问202.xx.xx.xx 80端口的http服务 OUPUT就放行数据了,而没等到iptables -A OUTPUT -d 202.xx.xx.xx -j DROP检查

所以,配置iptables DROP规则的时候需要把所有的DROP规则都放到链首,后面再接ACCEPT规则,这是常识。

论坛徽章:
0
22 [报告]
发表于 2007-05-19 14:54 |只看该作者
原帖由 tree2008 于 2007-5-17 15:50 发表于 8楼  
首先要知道eth0和eth1各接的是内网还是内网.(假设eth0外网,eth1内网)
然后需要了解对于内网访问 202.xx.xx.xx 的出口是eth0
因此,不许内网访问 202.xx.xx.xx 的规则是
#iptables -A OUTPUT -o eth0 -d  202.xx.xx.xx  -j DORP

为什么扯到一起?是因为针对你在 8 楼时说的这些话而反驳的
没错,OUTPUT是只负责本机数据外出控制,请注意“本机”是什么机?既然“本机”一头接的是内网,另一头接的是外网,也就是说内网的数据要通过“本机”出去,那当然这些数据要通过“本机”OUTPUT链的检查,这是无可质疑的。
下面来分析一下为什么iptables -A OUTPUT -d 202.xx.xx.xx -j DROP以后为何内网用户还是可以访问那个地址?
很容易解释,在OUTPUT链在执行检查时,已经先有规则匹配ACCEPT了,举个例说,
如果先有一条规则是
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
那么现在试图访问202.xx.xx.xx 80端口的http服务 OUPUT就放行数据了,而没等到iptables -A OUTPUT -d 202.xx.xx.xx -j DROP检查

所以,配置iptables DROP规则的时候需要把所有的DROP规则都放到链首,后面再接ACCEPT规则,这是常识。

没什么可说的,我还是建议你回去看书,把你号称看的比我吃饭还多的书再重新看一遍
说实话,既然你看了那么多的书,竟然还能学成这样,也挺佩服你的!!!

BTW: 顺便瞧瞧眼科,置顶那么多资料就是看不到?还有就是刷刷牙,你的口气不好,这里没人牛×,只是你在自以为是罢了!
srun 该用户已被删除
23 [报告]
发表于 2007-05-19 15:00 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽

论坛徽章:
0
24 [报告]
发表于 2007-05-19 15:32 |只看该作者
原帖由 srun 于 2007-5-19 15:00 发表于 23楼  
你要是做管理员,估计黑客爱死你了。



嘿嘿,不幸被你说中了,我本人就是SA,而且已经是很久拉!我对自己防火墙的过滤规则坚信不疑。
建议大家不要看一些道听途说的DD,书要看权威的才管用。“OUTPUT链对内网无用”的论调在这里居然是权威,实在无法理解!?

论坛徽章:
0
25 [报告]
发表于 2007-05-19 15:39 |只看该作者
原帖由 platinum 于 2007-5-19 14:54 发表于 22楼  

为什么扯到一起?是因为针对你在 8 楼时说的这些话而反驳的


没什么可说的,我还是建议你回去看书,把你号称看的比我吃饭还多的书再重新看一遍
说实话,既然你看了那么多的书,竟然还能学成这样,也挺佩 ...


我可以确定一定以及肯定地告诉你,我在8楼以及任何一楼的说话都是正确无误且负责任的。

原帖由 tree2008 于 2007-5-17 15:50 发表于 8楼  
首先要知道eth0和eth1各接的是内网还是内网.(假设eth0外网,eth1内网)
然后需要了解对于内网访问 202.xx.xx.xx 的出口是eth0
因此,不许内网访问 202.xx.xx.xx 的规则是
#iptables -A OUTPUT -o eth0 -d  202.xx.xx.xx  -j DORP

这条规则放到OUTPUT链首的话内网就绝对访问不到202.xx.xx.xx  如果能访问,随时欢迎找我理论!

论坛徽章:
1
白银圣斗士
日期:2015-11-23 08:33:04
26 [报告]
发表于 2007-05-19 16:58 |只看该作者
原帖由 tree2008 于 2007-5-19 15:39 发表于 25楼  


我可以确定一定以及肯定地告诉你,我在8楼以及任何一楼的说话都是正确无误且负责任的。

原帖由 tree2008 于 2007-5-17 15:50 发表于 8楼  
首先要知道eth0和eth1各接的是内网还是内网.(假设eth0外网, ...


呵呵,为什么不测试一下呢,实濺出真理。
[root@nat ~]#iptables-save -c
......
[0:0] -A FORWARD -s 10.0.0.0/255.255.0.0 -j ACCEPT
[0:0] -A OUTPUT -d 218.18.169.155 -j DROP
COMMIT
# Completed on Sat May 19 16:57:13 2007
[root@nat ~]#

C:\Documents and Settings\Able>ping yushin71.kmip.net

Pinging yushin71.kmip.net [218.18.169.155] with 32 bytes of data:

Reply from 218.18.169.155: bytes=32 time=193ms TTL=124
Reply from 218.18.169.155: bytes=32 time=49ms TTL=124
Reply from 218.18.169.155: bytes=32 time=205ms TTL=124
Reply from 218.18.169.155: bytes=32 time=382ms TTL=124

论坛徽章:
0
27 [报告]
发表于 2007-05-19 17:07 |只看该作者
原帖由 tree2008 于 2007-5-19 15:32 发表于 24楼  
嘿嘿,不幸被你说中了,我本人就是SA,而且已经是很久拉!我对自己防火墙的过滤规则坚信不疑。
建议大家不要看一些道听途说的DD,书要看权威的才管用。“OUTPUT链对内网无用”的论调在这里居然是权威,实在无法理解!?

或许正是因为你是很久以前的 SA,你接触的不是 iptables 而是 ipchains,因此会有这样的误解
5 年前我还在接触 ipchains 的时候,它的数据流的确是按照你现在的理解这样来走的,但 iptables 不同,你不能按照老方法去考虑
还是那句话,听人一句劝,回去看看书,太多太多的资料可以反驳你了,真的,识相点,不要再出来献丑了,我这么说是为你好……

[ 本帖最后由 platinum 于 2007-5-19 17:15 编辑 ]

论坛徽章:
0
28 [报告]
发表于 2007-05-19 17:26 |只看该作者
原帖由 枫影谁用了 于 2007-5-19 16:58 发表于 26楼  


呵呵,为什么不测试一下呢,实濺出真理。
#iptables-save -c
......
-A FORWARD -s 10.0.0.0/255.255.0.0 -j ACCEPT
-A OUTPUT -d 218.18.169.155 -j DROP
COMMIT
# Completed on Sat May 19 16: ...



你这个测试什么都说明不了:
1)没看全你的iptables配置文件内容
2)没看到你的防火墙是不是开的
3)没看到你的防火墙规则
5)没看到你发起ping的机器是不是在内网
6)没搞清你这个测试的网络结构

你这个测试只说明了一件事:有一台windows的机器能 ping通218.18.169.155

论坛徽章:
0
29 [报告]
发表于 2007-05-19 17:39 |只看该作者
原帖由 platinum 于 2007-5-19 17:07 发表于 27楼  

或许正是因为你是很久以前的 SA,你接触的不是 iptables 而是 ipchains,因此会有这样的误解
5 年前我还在接触 ipchains 的时候,它的数据流的确是按照你现在的理解这样来走的,但 iptables 不同,你不能按照 ...



确定告诉你,你从毕业以后就一直做SA,已经N年啦,我对iptables的理解是确定无误并经过实践检验的。你那《2小时玩转iptables企业版》写得还不错,不过稍显业余,居然连OUTPUT链都没有介绍,那人家设计OUTPUT链拿来干嘛?
还是别拿这些经不起推敲的东西来误人子弟为好!

论坛徽章:
0
30 [报告]
发表于 2007-05-19 18:24 |只看该作者
原帖由 tree2008 于 2007-5-19 17:39 发表于 29楼  
确定告诉你,从毕业以后就一直做SA,已经N年啦,我对iptables的理解是确定无误并经过实践检验的。

sorry,请你说话前先屡清自己的逻辑再说不迟
原帖由 tree2008 于 2007-5-19 17:39 发表于 29楼  
你那《2小时玩转iptables企业版》写得还不错,不过稍显业余,居然连OUTPUT链都没有介绍,那人家设计OUTPUT链拿来干嘛?

那份 PPT 本来就是面对新手而写的,OUTPUT 链对他们来说用处不大,且概念容易混淆,若想研究这个可单独自学
原帖由 tree2008 于 2007-5-19 17:39 发表于 29楼  你那《2小时玩转iptables企业版》写得还不错,不过稍显业余,居然连OUTPUT链都没有介绍,那人家设计OUTPUT链拿来干嘛?
还是别拿这些经不起推敲的东西来误人子弟为好!

既然你认为自己是对的,那么你是从哪看到的资料得出的这个结论呢?
并非经不起推敲,是有人根本不推敲便说别人的东西经不起推敲
其实我的文档里已经明确说了 FORWARD 链的功能及使用方法,置顶的另外一篇 kenduest 的文章明确说明了 OUTPUT 链的原理

我再一次,也是最后一次明确告诉你,你的观点是错误的,若你认为是正确的,不妨告诉大家你看的是什么资料,具体哪里证明了你的观点是正确的,并做个实验然后再贴出来证明给大家看不迟,不要像个老太太那样吵架时在那穷嚷嚷,拿出点实质的东西再反驳我不迟,否则就闭嘴!
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP