各位高手,没人会答?防火墙问题,没用过先关再开设定?在线等待,

szdarlgg

echo '1'>;/proc/sys/net/ipv4/ip_forward
/sbin/depmod -a
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_raudio
/sbin/ipchains -F
/sbin/ipchains -P input DENY
/sbin/ipchains -P output REJECT
/sbin/ipchains -P forward DENY
/sbin/ipchains -A input -i lo -j ACCEPT
/sbin/ipchains -A output -i lo -j ACCEPT
/sbin/ipchains -A input -i eth0 -p TCP -s 192.168.0.0/24 1024:65535 -d 0/0 80 -j ACCEPT
/sbin/ipchains -A forward  -s 192.168.0.0/24  -j MASQ
/sbin/ipchains -A forward -s 192.168.0.0/24 -j ACCEPT
/sbin/ipchains -A forward -d 192.168.0.0/24 -j ACCEPT

/sbin/ipchains -A output -i eth1 -p TCP -s a.b.c.d/32 1024:65535 -d 0/0 80 -j ACCEPT
/sbin/ipchains -A input -i eth1 -p TCP -s 0/0 80 -d a.b.c.d/32 1024:65535 -j ACCEPT

/sbin/ipchains -A output -i eth0 -p TCP -s 0/0 80 -d 192.168.0.0/24 1024:65535 -j ACCEPT


为什么内部的不能出去?内部机网关用eth0的IP, eth0连内部,eth1为公网ip(a.b.c.d)
一些资料就是这么写的,为什么不行....

好好先生

你的是那个版本的linux？高版本的用iptables。

szdarlgg

linux7.0,先不要说iptables,ipchains怎么处理

happy2k

好象没这么麻烦，我家里是一个PPPoE拨号得到的一个公网IP，在/etc/sysctl.conf中将：
net.ipv4.ip_forward = 1
再
echo '1'>;/proc/sys/net/ipv4/ip_forward
然后就是在/etc/sysconfig/iptables中写下（eth0是外网口，eth1是内网口）：
*nat
REROUTING ACCEPT [4039]
OSTROUTING ACCEPT [107]
:OUTPUT ACCEPT [0]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [38240]
:FORWARD ACCEPT [328]
:OUTPUT ACCEPT [32481]
COMMIT

就成了。重启一下/etc/init.d/iptables restart

szdarlgg

我不是为内部出去上网,我是指如果开始全部deny,再开放的话应如何做

q1208c

当然不行啦！
你这是只能连别个的80端口的，那DNS怎么办呀？没有DNS，还上什么网呀！

szdarlgg

ping不出去

netloafer

/sbin/ipchains -A forward -s 192.168.0.0/24 -j MASQ，只用这个就OK了！！

szdarlgg

上面那位有问题, input及output都deny了,你那句有什么用

Chuai

你既然知道都deny了，那么还能ping通么？