iptables的time问题

firewind

iptables规则如下：
iptables -t filter -A FORWARD  -m time --timestart 12：00 --timestop 14：00 --days Mon,Tue,Wed,Thu,Fri  -s 192.168.111.0/24 -d 0.0.0.0/0 -j ACCEPT
（还有一条相关的NAT没写）

用以上规则限制在12：00--14：00允许上网，但是在这期间下载东东（我用flashget测试），发现在14：00以后下载依然进行，直到下载完成。通过简单分析发现在ip_conntrack表中依然有它的连接信息，而且是ESTABLISHED！我的上述规则对以上行为没有作用

我想问，在不重启，还要用iptables的时间控制（据说ipchains没有此问题），怎么才能解决此问题？:

soi

你有没有在它的前面和状态相关的规则？

llzqq

把全部IPTABLES规则列出来看看

firewind

iptables -t filter -P INPUT  DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP


iptables -t filter -A INPUT -i lo -j ACCEPT
iptalbes -t filter -A OUTPUT -o lo -j ACCEPT


iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A FORWARD  -m time --timestart 12:00 --timestop 14:00 --days Mon,Tue,Wed,Thu,Fri  -s 192.168.111.0/24 -d 0.0.0.0/0 -j ACCEPT


iptables -t nat -A POSTROUTING  -s 192.168.111.0/24 -d 0.0.0.0/0 -j SNAT --to ***.***.***.***

firewind

edit upstairs again

platinum

ip_conntrack里面有，不能说明什么问题
你的问题有2方面原因

1、每个请求，都是有一个时间生存期的，也就是TTL，你有可能会发现，昨天的请求甚至今天还能在ip_conntrack里看到，这个不能说明什么

2、如果你仔细研究-m state的功能，研究里面RELATED,ESTABLISHED的作用，你就会知道，ESTABLISHED是针对“已连接”状态的。如果你有兴趣可以做个试验
iptables -P FORWARD ACCEPT
iptables -F FORWARD
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
然后现在开始，用FLASHGET下载一个大文件
然后马上iptables -P FORWARD DROP
你会发现，FLASHGET仍然在下载，但是如果这个时候你再单独开一个新的线程，就不可以了，这就是--state ESTABLISHED -j ACCEPT的功效，这也就是你这个shell可能失效的原因

因此综上所述，你的ip_conntrack根本不能说明什么，既不能说明防火墙没用，也不能说明防火墙确实拦截住了但ip_conntrack还没到失效期

firewind

请参见我上面的规则，我就是想严格实现12：00-14：00以外的时间不允许上网，（--state和--time）时间控制和状态检测都用，能否实现？

platinum

1. 
   
2. iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
   

复制代码

改成

1. 
   
2. iptables -t filter -A FORWARD -m state --state -m time --timestart 12:00 --timestop 14:00 --days Mon,Tue,Wed,Thu,Fri ESTABLISHED,RELATED -j ACCEPT
   

复制代码

这样也许可以解决你的问题

firewind

谢谢，等下班试试

platinum

好啊，成了一定告诉我^_^