询问关宇iptables的怪问题

limpbiskit

我用的linux＋iptables做代理上网，一切正常，后来想给虚拟段IP做些限制，让他们只能访问web，在FORWARD链里加了规则：
（1）iptables -P FORWARD DROP，
（2）iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 80 -j ACCEPT，
（3）iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
结果本来正常的虚拟段上网也不能上网了，如果把iptables -P FORWARD DROP换成iptables -P FORWARD ACCEPT就可以正常，请问大家有没有办法帮忙解决一下

platinum

这是你 FORWARD 链的全部策略吗？
如果是，那肯定不行，因为数据包要会传，至少还要允许 ESTABLISHED 状态的包通过

limpbiskit

楼上的兄弟能不能说的清楚些，我的是全部FORWARD的内容，能说的更清楚些吗？

platinum

http://man.chinaunix.net/network/iptables-tutorial-cn-1.1.19.html
仔细看一下 state 模块部分，了解一下里面 4 个参数的含义

limpbiskit

多谢楼上兄弟，我先看看

fargo

原帖由 "limpbiskit" 发表：
我用的linux＋iptables做代理上网，一切正常，后来想给虚拟段IP做些限制，让他们只能访问web，在FORWARD链里加了规则：
（1）iptables -P FORWARD DROP，
（2）iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dp..........

DNS 不是走TCP吗?

limpbiskit

dns用的是udp的53端口，没有问题的这个
请问大法师兄弟，是不是我把我的规则改成
iptables -A FORWARD -m state --state RELATED,ESTABLISHED 就可以了呢》？还是需要改成
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -p tcp -s 192.168.0.0/24 --dport 80 -j ACCEPT

limpbiskit

法师兄弟有没有联系方式？QQ或者MSN

platinum

原帖由 "limpbiskit" 发表：
dns用的是udp的53端口，没有问题的这个
请问大法师兄弟，是不是我把我的规则改成
iptables -A FORWARD -m state --state RELATED,ESTABLISHED 就可以了呢》？还是需要改成
iptables -A FORWARD -m state --state ..........

你试试咯 ^_^

limpbiskit

晕，呵呵，也没留个联系方式