设置内网IP的访问权限

txgc_wm

请教一个问题，请问如下的需求如何设置iptables规则？


1、对内网所有的IP限制，使其只能访问某公网IP；
2、内网IP的主机向路由注册后，它可以访问所有的公网IP地址。


有看到论坛内的 一个帖子 讲述对某个IP地址限制的设置，但针对我的需求，我不太清楚如何去设置。请大家不吝赐教！


我按照论坛上的做法添加如下规则：

1. # 允许通过外网DNS解析IP地址
   
2. iptables -I FORWARD -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT
   
3. 
   
4. # 对访问外网IP的数据回包做ACCEPT处理
   
5. iptables -I FORWARD -d 192.168.1.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
   
6. 
   
7. # 对外的其余访问一律DROP
   
8. iptables -I FORWARD -s 192.168.1.0/24 -j DROP
   
9. 
   
10. # 允许访问外网某IP
    
11. iptables -I FORWARD -s 192.168.1.0/24 -d 58.100.230.51 -j ACCEPT

复制代码

然后，允许某一个pc能够访问公网所有的IP，添加以下规则：

1. iptables -I FORWARD -s 192.168.1.100 -j ACCEPT
   
2. iptables -I FORWARD -d 192.168.1.100 -j ACCEPT

复制代码

这时该pc就可以上网了，接着将以上的两条规则删除，pc不能上网了，可是qq功能却正常，这是为什么？

txgc_wm

我按照以上给的链接的方法设置，但是qq还是能够正常登入和聊天，为什么？

1. # 允许通过外网DNS解析IP地址
   
2. iptables -I FORWARD -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT
   
3. 
   
4. # 对访问外网IP的数据回包做ACCEPT处理
   
5. iptables -I FORWARD -d 192.168.1.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
   
6. 
   
7. # 对外的其余访问一律DROP
   
8. iptables -I FORWARD -s 192.168.1.0/24 -j DROP
   
9. 
   
10. # 允许访问外网某IP
    
11. iptables -I FORWARD -s 192.168.1.0/24 -d 58.100.230.51 -j ACCEPT
    

复制代码

txgc_wm

有知道的朋友帮忙看看啊！

73年生人

txgc_wm 发表于 2013-08-07 11:28
我按照以上给的链接的方法设置，但是qq还是能够正常登入和聊天，为什么？

能登陆ＱＱ的ＩＰ是什么？

73年生人

txgc_wm 发表于 2013-08-07 11:28
我按照以上给的链接的方法设置，但是qq还是能够正常登入和聊天，为什么？

iptables -A FORWARD -s 192.168.197.0/24 -j DROP

197.0/24网段的都不能转发了啊。
你看看还有哪儿写错了。

txgc_wm

回复 5# 73年生人

恩，我再找找。

我那些操作都是在路由器中手动执行的，当我把它写入到程序的时候又是另外一种现象。