我的iptables不能转发，求救！

cool-bugs

iptables-save的结果
COMMIT
# Completed on Fri Oct 21 11:35:29 2005
# Generated by iptables-save v1.3.3 on Fri Oct 21 11:35:29 2005
*nat
REROUTING ACCEPT [333]
OSTROUTING ACCEPT [0]
:OUTPUT ACCEPT [0]
-A POSTROUTING -s 10.15.0.0/255.255.0.0 -j MASQUERADE
COMMIT
# Completed on Fri Oct 21 11:35:29 2005
# Generated by iptables-save v1.3.3 on Fri Oct 21 11:35:29 2005
*filter
:INPUT ACCEPT [301]
:FORWARD DROP [167]
:OUTPUT ACCEPT [0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -s 10.15.0.0/255.255.0.0 -j ACCEPT
-A FORWARD -s 10.15.0.0/255.255.0.0 -m ipp2p --ipp2p -j DROP
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
COMMIT
# Completed on Fri Oct 21 11:35:29 2005

cool-bugs

在linux下可以ping通外网IP。
但不能转发10.15.0.0段
我已经在nat表中
iptables -t nat -A POSTROUTING -s 10.15.0.0/255.255.0.0 -j MASQUERADE
route指令的缺省路由是ppp0了

三国赵云

你是什么情况下的转发啊。从哪到哪的转发啊？

cool-bugs

eth1为内网的ip为10.15.8.3
eth0接adslmodem ip为192.168.1.2
ppp0直接对外

三国赵云

是不是该有一条
-A FORWARD -d 10.15.0.0/255.255.0.0 -j ACCEPT

cool-bugs

原帖由 "三国赵云" 发表：
是不是该有一条
-A FORWARD -d 10.15.0.0/255.255.0.0 -j ACCEPT

应该是-s吧
??   

三国赵云

我是说加一条。我是说，当出去请求网页的数据返回时呢？目标是内网的IP 。是不是应该加一条 -d 啊？你试试。

platinum

iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

三国赵云

白金大侠，如果不用这种状态防火墙的话，用我的说的那种，允许目的为内网的转发通过。是否可以？

枫影谁用了

[quote]原帖由 "三国赵云"]白金大侠，如果不用这种状态防火墙的话，用我的说的那种，允许目的为内网的转发通过。是否可以？[/quote 发表：


不可以！
你看一下tcp协议 ！
成功的连接要经过三个步骤。。第一个就是状态包！