请大侠看我的iptables设置中的几条规则多不多余？

youthdating

一台NAT主机，两个网卡，一个对外WANIP，一个对内INTIP。
两台服务器，一台数据库DATAIP，一台WEB服务器WEBIP。
要求：1、外网访问WANIP、DATAIP，DNAT到WEBIP、DATAIP。1、内网的DATAIP和WEBIP及NAT主机均能访问外网。
具体iptables：
1、nat表：
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            WANIP         tcp dptx to:WEBIPx
DNAT       tcp  --  0.0.0.0/0            WANIP         tcp dptxx toATAIPxx

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  192.168.0.0/24       0.0.0.0/0           to:WANIP                                           ####这句需要不需要？如果不需要，好像内网上不了外网。
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

2、filter表
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0           DATAIP                 tcp dptxx
ACCEPT     tcp  --  0.0.0.0/0           WEBIP                  tcp dptx
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0               state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0                                                                   ####这句需要不需要？如果不需要，好像内网上不了外网。

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   

youthdating

在forward 中的最后一行中，条件是：If input interface is 内网卡 and output interface is 外网卡

marsaber

见：http://bbs.chinaunix.net/thread-3690676-1-1.html

dbsrv

POSTROUTING那个SNAT必须有，这是内网地址转换为外部地址的策略。

FORWARD第4行也必须有，但source范围可以定义到具体主机或某一子网，比如
ACCEPT     all  --  10.1.1.11/32            0.0.0.0/0
因为默认策略是DROP，如果没有这行，所有的行为都会由默认策略来处理，统统DROP。
如果嫌烦，那就-P FORWARD ACCEPT最省事了。

marsaber

楼上的精细，我竟然没有注意到FORWARD是DROP的。

dbsrv

回复 5# marsaber


    因为我的习惯就是FORWARD默认DROP……