免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 IPtables 菜鸟问题求答 (白金大师请进~)
最近访问板块 发新帖
查看: 1561 | 回复: 4
打印 上一主题 下一主题

[网络管理] IPtables 菜鸟问题求答 (白金大师请进~) [复制链接]

welldrong

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2006-06-13 14:35 |只看该作者 |倒序浏览
/sbin/iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT

以上两句有何用途?

虽然我自己也搞了个IPTABLES的防火墙,但对IPTABLES的精髓还不了解。我自己做的那个防火墙有个比较奇怪的现象,就是向外网转发时不时中断……大概6~8个包又自动恢复正常了。情况就象下面这样:
C:\>ping www.21cn.com -t

Pinging www.cdn.21cn.com [61.140.60.90] with 32 bytes o

Reply from 61.140.60.90: bytes=32 time=11ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Reply from 61.140.60.90: bytes=32 time=18ms TTL=241
Reply from 61.140.60.90: bytes=32 time=17ms TTL=241
Reply from 61.140.60.90: bytes=32 time=17ms TTL=241
Request timed out.
Reply from 61.140.60.90: bytes=32 time=9ms TTL=241
Reply from 61.140.60.90: bytes=32 time=30ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Reply from 61.140.60.90: bytes=32 time=23ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Reply from 61.140.60.90: bytes=32 time=11ms TTL=241
Reply from 61.140.60.90: bytes=32 time=9ms TTL=241
Reply from 61.140.60.90: bytes=32 time=9ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Reply from 61.140.60.90: bytes=32 time=9ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Reply from 61.140.60.90: bytes=32 time=18ms TTL=241
Reply from 61.140.60.90: bytes=32 time=11ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Reply from 61.140.60.90: bytes=32 time=18ms TTL=241
Reply from 61.140.60.90: bytes=32 time=19ms TTL=241
Request timed out.
Reply from 61.140.60.90: bytes=32 time=24ms TTL=241
Reply from 61.140.60.90: bytes=32 time=21ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Reply from 61.140.60.90: bytes=32 time=11ms TTL=241
Reply from 61.140.60.90: bytes=32 time=11ms TTL=241
Reply from 61.140.60.90: bytes=32 time=11ms TTL=241
Reply from 61.140.60.90: bytes=32 time=16ms TTL=241
Reply from 61.140.60.90: bytes=32 time=19ms TTL=241
Reply from 61.140.60.90: bytes=32 time=17ms TTL=241
Reply from 61.140.60.90: bytes=32 time=11ms TTL=241
Reply from 61.140.60.90: bytes=32 time=9ms TTL=241
Reply from 61.140.60.90: bytes=32 time=20ms TTL=241
Reply from 61.140.60.90: bytes=32 time=19ms TTL=241
Reply from 61.140.60.90: bytes=32 time=20ms TTL=241
Reply from 61.140.60.90: bytes=32 time=18ms TTL=241
Request timed out.
Request timed out.
Reply from 61.140.60.90: bytes=32 time=11ms TTL=241
Reply from 61.140.60.90: bytes=32 time=13ms TTL=241
Reply from 61.140.60.90: bytes=32 time=9ms TTL=241
Reply from 61.140.60.90: bytes=32 time=23ms TTL=241
Reply from 61.140.60.90: bytes=32 time=26ms TTL=241
Reply from 61.140.60.90: bytes=32 time=13ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Reply from 61.140.60.90: bytes=32 time=15ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Reply from 61.140.60.90: bytes=32 time=10ms TTL=241
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Reply from 61.140.60.90: bytes=32 time=23ms TTL=241
Reply from 61.140.60.90: bytes=32 time=28ms TTL=241
Request timed out.
Request timed out.


请问是配置有问题吗?以下是配置(基于安全考虑,把地址用x.x.x.x代替):

#!/bin/sh



echo "1" >/proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -s x.x.x.x -j SNAT --to-source x.x.x.x
iptables -t nat -A POSTROUTING -o eth1 -m iprange --src-range x.x.x.x-x.x.x.x-j SNAT --to-source x.x.x.x
iptables -A FORWARD -m iprange --src-range x.x.x.x-x.x.x.x -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m iprange --src-range x.x.x.x-x.x.x.x -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m iprange --src-range x.x.x.x-x.x.x.x -m ipp2p --kazaa -j DROP

[ 本帖最后由 welldrong 于 2006-6-13 16:13 编辑 ]
schevalier

论坛徽章:
0
2 [报告]
发表于 2006-06-13 23:11 |只看该作者
什么意思。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
platinum

论坛徽章:
0
3 [报告]
发表于 2006-06-13 23:50 |只看该作者
原因很多
网线问题、网络问题、Linux 问题、对方网络问题、对方服务器问题等
其中,你的策略也有问题,但不是造成这个现象的原因

btw: 不要叫我大师
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
welldrong

论坛徽章:
0
4 [报告]
发表于 2006-06-14 08:40 |只看该作者
原帖由 platinum 于 2006-6-13 23:50 发表
原因很多
网线问题、网络问题、Linux 问题、对方网络问题、对方服务器问题等
其中,你的策略也有问题,但不是造成这个现象的原因

btw: 不要叫我大师


还没有回答我帖子开头那两句是什么意思,有什么作用呢。另外,我的策略有什么问题?请白金不吝赐教~
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
platinum

论坛徽章:
0
5 [报告]
发表于 2006-06-14 09:47 |只看该作者

  2. /sbin/iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
  3. /sbin/iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
复制代码

就是允许分别从 eth1 和 eth2 进来的,经过 Linux 的,状态为 ESTABLISHED 和 RELATED 的包通过
多用于不允许某些地方主动访问,而允许数据包被动进入的情况
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP