2 小时玩转 iptables 讲义企业版 v1.5.4（已添加 PPT 格式）

iamshiyu

# Generated by iptables-save v1.2.11 on Tue Sep  5 10:19:04 2006
*filter
:INPUT DROP [170116:13325405]
:FORWARD DROP [733792:429318152]
:OUTPUT ACCEPT [10254:2192484]
-A INPUT -s 192.168.10.46 -i eth0 -j ACCEPT
-A INPUT -s 192.168.10.251 -i eth0 -j ACCEPT
-A INPUT -s 192.168.10.241 -i eth0 -j ACCEPT
-A INPUT -s 192.168.10.3 -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -s 192.168.10.15 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.46 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.9 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.10 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.11 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.12 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.13 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.17 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.19 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.20 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.22 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.23 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.24 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -d 192.168.10.24 -m limit --limit 96/sec --limit-burst 192 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.10.26 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.27 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.28 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.29 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.30 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.31 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.32 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.33 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.35 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.37 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.38 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.39 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.40 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.41 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.42 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.43 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.45 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.49 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.62 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.70 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.74 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.75 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.76 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.77 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.78 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.79 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.80 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.82 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.83 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.87 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.88 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.92 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.99 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.101 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.113 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.114 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.119 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.121 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.125 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -d 192.168.10.125 -m limit --limit 128/sec --limit-burst 192 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.10.131 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.134 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.151 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.163 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.166 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.167 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.173 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.178 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.183 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.193 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.195 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.199 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.200 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.209 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.216 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.233 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.239 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.240 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.241 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.246 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.251 -m limit --limit 96/sec --limit-burst 192 -j ACCEPT
-A FORWARD -s 192.168.10.160 -j ACCEPT
-A FORWARD -s 192.168.10.205 -j ACCEPT
-A FORWARD -s 192.168.10.234 -j ACCEPT
-A FORWARD -s 192.168.10.238 -j ACCEPT
-A FORWARD -s 192.168.10.247 -j ACCEPT
-A FORWARD -d 192.168.10.0/255.255.255.0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d 169.254.0.0/255.255.0.0 -j DROP
-A OUTPUT -s 169.254.0.0/255.255.0.0 -j DROP
COMMIT
# Completed on Tue Sep  5 10:19:04 2006
# Generated by iptables-save v1.2.11 on Tue Sep  5 10:19:04 2006
*nat
REROUTING ACCEPT [441089:37705425]
OSTROUTING ACCEPT [8:528]
:OUTPUT ACCEPT [8:528]
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth1 -j MASQUERADE
COMMIT
# Completed on Tue Sep  5 10:19:04 2006

需求就是把内网的10.241的某些端口映射到外部某个ip，比如2xx.xxx.xxx.59。我试过多次总是有问题：
iptables -t nat -I PREROUTING -d 2*.*.*.59 -p tcp --dport 80 -j DNAT --to 192.168.10.241:80
iptables -t nat -I POSTROUTING -d 192.168.*.241 -p tcp --dport 80 -j SNAT --to 2*.*.*.59:80
iptables -I FORWARD -d 192.168.10.241 -j ACCEPT
iptables -I FORWARD -d 2*.*.*.59 -j ACCEPT
结果不行……后来怕是因为80服务有其他因素影响，改用3389端口做实验还是没成功……
另外还有个奇怪的事情，我的路由表老是有169.254.0.0/16段的地址，可以看到我已经禁止这个地址的转发了，但是我从交换机的ip表里面还是可以看到169.254.*.*的ip从连接nat服务器的端口出来，怪异！

jelver

谢谢!

wind1211

顶一下
谢谢白金

iamshiyu

请问白金，我是应该通过加规则
/sbin/iptables -t nat -I POSTROUTING -o eth0 -d ! 192.168.10.0/24 -j DROP
还是
/sbin/iptables -I FORWARD -o eth0 -d ! 192.168.10.0/24 -j DROP
来防止非192.168.10.0网段的地址对内网的访问？
我从内网的交换机中看到有大量的无用或者说非法的ip通过nat服务器连进网来……郁闷死了
IP Address         Port
---------------    ----
59.64.193.142      19
169.254.30.175     19
169.254.66.7       19
169.254.70.138     19
169.254.95.172     19
169.254.120.4      19
169.254.137.240    19
169.254.158.20     19
169.254.192.127    19
169.254.240.203    19
169.254.252.64     19
192.168.0.35       19
192.168.0.81       19
192.168.0.124      19
注：我的nat服务器连接在19端口上，现在好多的莫名其妙的ip显示在交换机上，而nat本身的内网地址是192.168.10.254

[ 本帖最后由 iamshiyu 于 2006-9-6 16:09 编辑 ]

platinum

这样试试
iptables -I FORWARD -d 192.168.10.0/24 -m state --state NEW -j DROP

iamshiyu

/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.10.0/24 -j ACCEPT
我的脚本有这么一句，这样的效果不一样么？我现在搞不清这是怎么引起的，导致交换机里显示连接nat服务器的端口有很多ip的访问……
还有请问我那个映射的问题你觉得我加的规则有问题么？若是没有我就再找找其他原因了……还有就是如果要作端口映射的话，是否内网机器的网关必须指向nat服务器呢？如果不是我想在其他机器上做试验而不是主nat服务器上试验。

platinum

不好说，可能要抓包来分析才知道了

wfguo

谢谢阿

iamshiyu

原帖由 platinum 于 2006-9-7 16:12 发表
不好说，可能要抓包来分析才知道了

用ethreal抓了一下包，不过内容太多，我对于过滤规则又不熟悉，顶多抓一分钟就好几万个包了，实在没找到相关的内容。好在现在感觉网络上负载还不大，还能忍……
还是要问我那个映射的问题你觉得我加的规则有问题么？若是没有我就再找找其他原因了……还有就是作端口映射是否内网机器的网关必须指向nat服务器的问题？我几次在其他机器上做试验然而时灵时不灵，我又没功夫好好整理，现在弄得一团浆糊……

platinum

把包放上来看一下