【讨论】iptables中的疑难

tree2008

原帖由 ssffzz1 于 2007-5-18 17:13 发表于 17楼  


也许你已经看了N吨书了，相信一个20多岁的人吃过的饭也有N-1吨了。正因为资料太多了，也许你没看到关于OUTPUT链的资料。的确OUTPUT只是针对本机的，对内部网络的数据流是没有任何关系的。

我不明白你们怎么把＂OUTPUT只是针对本机”和＂内部网络的数据流是没有任何关系＂扯到一起来．
没错，ＯＵＴＰＵＴ是只负责本机数据外出控制，请注意“本机”是什么机？既然“本机”一头接的是内网，另一头接的是外网，也就是说内网的数据要通过“本机”出去，那当然这些数据要通过“本机”OUTPUT链的检查，这是无可质疑的。

下面来分析一下为什么iptables -A OUTPUT -d 202.xx.xx.xx -j DROP以后为何内网用户还是可以访问那个地址？
很容易解释，在OUTPUT链在执行检查时，已经先有规则匹配ACCEPT了，举个例说，
如果先有一条规则是
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
那么现在试图访问202.xx.xx.xx 80端口的http服务 OUPUT就放行数据了，而没等到iptables -A OUTPUT -d 202.xx.xx.xx -j DROP检查

所以，配置iptables DROP规则的时候需要把所有的DROP规则都放到链首，后面再接ACCEPT规则，这是常识。

platinum

原帖由 tree2008 于 2007-5-17 15:50 发表于 8楼  
首先要知道eth0和eth1各接的是内网还是内网．（假设eth0外网，eth1内网）
然后需要了解对于内网访问 202.xx.xx.xx 的出口是eth0
因此，不许内网访问 202.xx.xx.xx 的规则是
＃iptables -A OUTPUT -o eth0 -d  202.xx.xx.xx  -j DORP

为什么扯到一起？是因为针对你在 8 楼时说的这些话而反驳的

没错，ＯＵＴＰＵＴ是只负责本机数据外出控制，请注意“本机”是什么机？既然“本机”一头接的是内网，另一头接的是外网，也就是说内网的数据要通过“本机”出去，那当然这些数据要通过“本机”OUTPUT链的检查，这是无可质疑的。

下面来分析一下为什么iptables -A OUTPUT -d 202.xx.xx.xx -j DROP以后为何内网用户还是可以访问那个地址？
很容易解释，在OUTPUT链在执行检查时，已经先有规则匹配ACCEPT了，举个例说，
如果先有一条规则是
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
那么现在试图访问202.xx.xx.xx 80端口的http服务 OUPUT就放行数据了，而没等到iptables -A OUTPUT -d 202.xx.xx.xx -j DROP检查

所以，配置iptables DROP规则的时候需要把所有的DROP规则都放到链首，后面再接ACCEPT规则，这是常识。

没什么可说的，我还是建议你回去看书，把你号称看的比我吃饭还多的书再重新看一遍
说实话，既然你看了那么多的书，竟然还能学成这样，也挺佩服你的！！！

BTW: 顺便瞧瞧眼科，置顶那么多资料就是看不到？还有就是刷刷牙，你的口气不好，这里没人牛×，只是你在自以为是罢了！

tree2008

原帖由 srun 于 2007-5-19 15:00 发表于 23楼  
你要是做管理员，估计黑客爱死你了。

嘿嘿，不幸被你说中了，我本人就是SA，而且已经是很久拉！我对自己防火墙的过滤规则坚信不疑。
建议大家不要看一些道听途说的DD，书要看权威的才管用。“OUTPUT链对内网无用”的论调在这里居然是权威，实在无法理解！？

tree2008

原帖由 platinum 于 2007-5-19 14:54 发表于 22楼  

为什么扯到一起？是因为针对你在 8 楼时说的这些话而反驳的


没什么可说的，我还是建议你回去看书，把你号称看的比我吃饭还多的书再重新看一遍
说实话，既然你看了那么多的书，竟然还能学成这样，也挺佩 ...

我可以确定一定以及肯定地告诉你，我在8楼以及任何一楼的说话都是正确无误且负责任的。

原帖由 tree2008 于 2007-5-17 15:50 发表于 8楼  
首先要知道eth0和eth1各接的是内网还是内网．（假设eth0外网，eth1内网）
然后需要了解对于内网访问 202.xx.xx.xx 的出口是eth0
因此，不许内网访问 202.xx.xx.xx 的规则是
＃iptables -A OUTPUT -o eth0 -d  202.xx.xx.xx  -j DORP

这条规则放到OUTPUT链首的话内网就绝对访问不到202.xx.xx.xx  如果能访问，随时欢迎找我理论！

枫影谁用了

原帖由 tree2008 于 2007-5-19 15:39 发表于 25楼  


我可以确定一定以及肯定地告诉你，我在8楼以及任何一楼的说话都是正确无误且负责任的。

原帖由 tree2008 于 2007-5-17 15:50 发表于 8楼  
首先要知道eth0和eth1各接的是内网还是内网．（假设eth0外网， ...

呵呵，为什么不测试一下呢，实濺出真理。
[root@nat ~]#iptables-save -c
......
[0:0] -A FORWARD -s 10.0.0.0/255.255.0.0 -j ACCEPT
[0:0] -A OUTPUT -d 218.18.169.155 -j DROP
COMMIT
# Completed on Sat May 19 16:57:13 2007
[root@nat ~]#

C:\Documents and Settings\Able>ping yushin71.kmip.net

Pinging yushin71.kmip.net [218.18.169.155] with 32 bytes of data:

Reply from 218.18.169.155: bytes=32 time=193ms TTL=124
Reply from 218.18.169.155: bytes=32 time=49ms TTL=124
Reply from 218.18.169.155: bytes=32 time=205ms TTL=124
Reply from 218.18.169.155: bytes=32 time=382ms TTL=124

platinum

原帖由 tree2008 于 2007-5-19 15:32 发表于 24楼  
嘿嘿，不幸被你说中了，我本人就是SA，而且已经是很久拉！我对自己防火墙的过滤规则坚信不疑。
建议大家不要看一些道听途说的DD，书要看权威的才管用。“OUTPUT链对内网无用”的论调在这里居然是权威，实在无法理解！？

或许正是因为你是很久以前的 SA，你接触的不是 iptables 而是 ipchains，因此会有这样的误解
5 年前我还在接触 ipchains 的时候，它的数据流的确是按照你现在的理解这样来走的，但 iptables 不同，你不能按照老方法去考虑
还是那句话，听人一句劝，回去看看书，太多太多的资料可以反驳你了，真的，识相点，不要再出来献丑了，我这么说是为你好……

[ 本帖最后由 platinum 于 2007-5-19 17:15 编辑 ]

tree2008

原帖由 枫影谁用了 于 2007-5-19 16:58 发表于 26楼  


呵呵，为什么不测试一下呢，实濺出真理。
#iptables-save -c
......
-A FORWARD -s 10.0.0.0/255.255.0.0 -j ACCEPT
-A OUTPUT -d 218.18.169.155 -j DROP
COMMIT
# Completed on Sat May 19 16: ...

你这个测试什么都说明不了：
1）没看全你的iptables配置文件内容
2）没看到你的防火墙是不是开的
3）没看到你的防火墙规则
5）没看到你发起ping的机器是不是在内网
6）没搞清你这个测试的网络结构

你这个测试只说明了一件事：有一台windows的机器能 ping通218.18.169.155

tree2008

原帖由 platinum 于 2007-5-19 17:07 发表于 27楼  

或许正是因为你是很久以前的 SA，你接触的不是 iptables 而是 ipchains，因此会有这样的误解
5 年前我还在接触 ipchains 的时候，它的数据流的确是按照你现在的理解这样来走的，但 iptables 不同，你不能按照 ...

确定告诉你，你从毕业以后就一直做SA，已经N年啦，我对iptables的理解是确定无误并经过实践检验的。你那《2小时玩转iptables企业版》写得还不错，不过稍显业余，居然连OUTPUT链都没有介绍，那人家设计OUTPUT链拿来干嘛？
还是别拿这些经不起推敲的东西来误人子弟为好！

platinum

原帖由 tree2008 于 2007-5-19 17:39 发表于 29楼  
确定告诉你，你从毕业以后就一直做SA，已经N年啦，我对iptables的理解是确定无误并经过实践检验的。

sorry，请你说话前先屡清自己的逻辑再说不迟

原帖由 tree2008 于 2007-5-19 17:39 发表于 29楼  
你那《2小时玩转iptables企业版》写得还不错，不过稍显业余，居然连OUTPUT链都没有介绍，那人家设计OUTPUT链拿来干嘛？

那份 PPT 本来就是面对新手而写的，OUTPUT 链对他们来说用处不大，且概念容易混淆，若想研究这个可单独自学

原帖由 tree2008 于 2007-5-19 17:39 发表于 29楼  你那《2小时玩转iptables企业版》写得还不错，不过稍显业余，居然连OUTPUT链都没有介绍，那人家设计OUTPUT链拿来干嘛？
还是别拿这些经不起推敲的东西来误人子弟为好！

既然你认为自己是对的，那么你是从哪看到的资料得出的这个结论呢？
并非经不起推敲，是有人根本不推敲便说别人的东西经不起推敲
其实我的文档里已经明确说了 FORWARD 链的功能及使用方法，置顶的另外一篇 kenduest 的文章明确说明了 OUTPUT 链的原理

我再一次，也是最后一次明确告诉你，你的观点是错误的，若你认为是正确的，不妨告诉大家你看的是什么资料，具体哪里证明了你的观点是正确的，并做个实验然后再贴出来证明给大家看不迟，不要像个老太太那样吵架时在那穷嚷嚷，拿出点实质的东西再反驳我不迟，否则就闭嘴！