【讨论】iptables中的疑难

tree2008

还有一点
*filter
:INPUT ACCEPT [54:4380]
:FORWARD ACCEPT [42:3398]
:OUTPUT ACCEPT [0:0]
-A OUTPUT -j DROP
COMMIT
你的网关就是这样配的么？没有地址转换？
没有地址转换的防火墙根本不具备网关功能，它连接的两个网络之间怎么通讯的？亏你还能两个网络之间互ping通

[ 本帖最后由 tree2008 于 2007-5-20 23:16 编辑 ]

platinum

tree2008，贴出你做测试系统的下列信息看一下

uname -a
iptables -V
iptables-save
ifconfig -a
ip route

若涉及到敏感 IP 可以把前两位用 XX.XX 代替
你 39 楼测试的方法在我的三个不同的 Linux 系统上都不成立，不知道是不是你的系统有问题

wysilly

忽然觉得这样挺好。

生活充满乐趣。

tree2008

原帖由 kenduest 于 2007-5-20 23:10 发表于 50楼  


你就不用繼續吵了。

iptables -P OUTPUT DROP 後，這個不影響內部透過 nat 連出去的主機。

透過 nat 出去的主機，主要是 PREROUTING (nat) --> FORWARD (filer table) --> POSTROUTING (nat)， ...

夷 还蛮牛X的，居然是繁体耶，小强啊 你说对拉，是通过PREROUTING (nat) --> FORWARD (filer table) --> POSTROUTING (nat)， 这个我从没否认过，你这个“主要”说得很好，很到位啊，不愧是大师啊。

不过...我看算了，我已经在这个问题上犯了了多次错误啦，就是不能挑战权威，我错啦，一定坚决改正
明天还是安心上我的班为好

wysilly

你真是一个有趣的人，我是潜水太久，出来透透气。你是潜的太深，忘了怎么出来了。

呵呵。

kenduest

原帖由 tree2008 于 2007-5-20 23:26 发表于 54楼  
夷 还蛮牛X的，居然是繁体耶，小强啊 你说对拉，是通过PREROUTING (nat) --> FORWARD (filer table) --> POSTROUTING (nat)， 这个我从没否认过，你这个“主要”说得很好，很到位啊，不愧是大师啊。

不过...我看算了，我已经在这个问题上犯了了多次错误啦，就是不能挑战权威，我错啦，一定坚决改正
明天还是安心上我的班为好

感觉你似乎是拉不下脸 ? 文章内也没看到你承认你的回应有错误 ? 既然你不否认我说的这个 chain，那可以问您为何坚持 OUTPUT chain 为 DROP 时，内部网络主机还是可以连通呢？您可以好好说明一下吗？ 要不然似乎避重就轻喔。

另外再者没人在网路上说自己的权威，这个问题只是就问题单一讨论而已，这叫做 "就事论事"，讨论问题就是找到正确的答案，与权威没关系。

你前面回应文内，一堆 "攻击文章"，甚至还拿出 "novell" 的文档来证明你的正确，现在来看是不是很讽刺呢 ?

--

[ 本帖最后由 kenduest 于 2007-5-20 23:41 编辑 ]

HonestQiao

还是我来点官方的文档吧：
参看：http://netfilter.org/documentati ... ering-HOWTO-10.html
10. iptables 與 ipchains 的差異

首先﹐內建鏈名稱從小寫還換成大寫﹐因為 INPUT 與 OUTPUT 鏈目前只會抓目標為本機以及從本機產生的封包。它們分別用來查看傳入與傳出的封包。
現在有一個 `-i' 旗標來代表傳入界面﹐並且只工作於 INPUT 和 FORWARD 鏈中。在 FORWARD 與 OUTPUT 鏈中就要將 `-i' 改成 `-o' 了。
TCP 與 UDP 埠口現在都要用 --source-port 或 --sport 選項來拼寫出來(或是掉過來寫 --destination-port 或 --dport)﹐同時﹐必需置於 `-p tcp' 或 `-p udp' 選項之後﹐因為 TCP 或 UDP 延伸是分開載入的。
以前 TCP 那個 -y 現在變成 --syn﹐並且必需置於 `-p tcp' 之後。
原來的 DENY 目標現在終於變成 DROP 了。
在列示其工作的同時可以將該鏈歸零(zeroing)。
歸零內建鏈也可以清掉原則記數器(policy counters)。
列示鏈可以讓您把記數器變成微小快照(atomic snapshot)。
REJECT 與 LOG 現在變成延伸目標了﹐意味著它們已經和核心模組分開。
鏈名稱最長可達 31 個字母。
MASQ 現在變成 MASQUERADE﹐ 而且使用不同的語法。REDIRECT 在保留相同名稱的同時﹐也經歷了語法的變遷。至於如何設定它們的詳細資料﹐請參閱 NAT-HOWTO。
而 -o 選項則不再用來將封包傳遞給使用者空間設備了(參考前面的 -i )。現在則用 QUEUE 目標將封包送給使用者空間。
哦﹐我可能已記不得那麼多了。

10. Differences Between iptables and ipchains

Firstly, the names of the built-in chains have changed from lower case to UPPER case, because the INPUT and OUTPUT chains now only get locally-destined and locally-generated packets. They used to see all incoming and all outgoing packets respectively.
The `-i' flag now means the incoming interface, and only works in the INPUT and FORWARD chains. Rules in the FORWARD or OUTPUT chains that used `-i' should be changed to `-o'.
TCP and UDP ports now need to be spelled out with the --source-port or --sport (or --destination-port/--dport) options, and must be placed after the `-p tcp' or `-p udp' options, as this loads the TCP or UDP extensions respectively.
The TCP -y flag is now --syn, and must be after `-p tcp'.
The DENY target is now DROP, finally.
Zeroing single chains while listing them works.
Zeroing built-in chains also clears policy counters.
Listing chains gives you the counters as an atomic snapshot.
REJECT and LOG are now extended targets, meaning they are separate kernel modules.
Chain names can be up to 31 characters.
MASQ is now MASQUERADE and uses a different syntax. REDIRECT, while keeping the same name, has also undergone a syntax change. See the NAT-HOWTO for more information on how to configure both of these.
The -o option is no longer used to direct packets to the userspace device (see -i above). Packets are now sent to userspace via the QUEUE target.
Probably heaps of other things I forgot.


http://netfilter.org/documentation/HOWTO/cn/NAT-HOWTO-6.html
需要修改本機產生的封包之目的地的話﹐那麼 OUTPUT 鏈就可以用上了﹐不過這並不常碰到。

ssffzz1

C:\Documents and Settings\admin>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 e0 4c e2 9d 03 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC -
数据包计划程序微型端口
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.0.254    192.168.0.88       30
         10.0.0.0        255.0.0.0      192.168.0.1    192.168.0.88       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0     192.168.0.88    192.168.0.88       30
     192.168.0.88  255.255.255.255        127.0.0.1       127.0.0.1       30
    192.168.0.255  255.255.255.255     192.168.0.88    192.168.0.88       30
        224.0.0.0        240.0.0.0     192.168.0.88    192.168.0.88       30
  255.255.255.255  255.255.255.255     192.168.0.88    192.168.0.88       1
Default Gateway:     192.168.0.254
===========================================================================
Persistent Routes:
  None
3、没有防火墙。正在上CU论坛。


麻烦你看好了XP机器的路由表,缺省网关是192.168.0.254这个没错误,但是在上面却有一条10.0.0.0网络的静态路由.我不知道你知不知道这一条目是干什么的.你该去好好学学网络基础了.

ssffzz1

原帖由 tree2008 于 2007-5-20 23:15 发表于 51楼  
还有一点
*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
-A OUTPUT -j DROP
COMMIT
你的网关就是这样配的么？没有地址转换？
没有地址转换的防火墙根本不具备网关功能，它连接的两个网络之 ...

请你分析以下两机器的路由表.真没听说没有NAT的不算网关,那么CISCO的路由器不就是废铁了.网关就是这样配置的.

最后请你根据我的配置,认真的重新做一遍.如果结果和我的一样,请你郑重的和我道歉.如果不是我说的结果,你把自己的具体流程写出来.

枫影谁用了

原帖由 wysilly 于 2007-5-20 23:20 发表于 53楼  
忽然觉得这样挺好。

生活充满乐趣。