免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 3708 | 回复: 17

[系统管理] iptables [复制链接]

论坛徽章:
0
发表于 2013-10-22 13:59 |显示全部楼层
请问各位:我在ubuntu的机器(IP:192.168.1.1,上面还架设了一个php的网站)上设置iptables.up.rules文件:
-A OUTPUT -m string --algo kmp --string "index" -j DROP
然后在另外一台电脑上去访问http://192.168.1.1/index.php,打不开网页,其它的网页http://192.168.1.1/a.php等则全部可以打开。
但是我去掉上述规则,加另外两条:
-A OUTPUT -m string --algo kmp --string "index" -j ACCEPT
-A OUTPUT -j DROP
本意是想仅允许访问http://192.168.1.1/index.php,却发现所有网页均打不开,连本机都上不了网。
请问,是怎么回事呀?

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2013-10-22 14:06 |显示全部楼层
你的linux上网,数据包会走OUTPUT链.你将OUTPUT都设置成Drop了,当然上不了网.

论坛徽章:
0
发表于 2013-10-22 14:08 |显示全部楼层
可以暂时不考虑本机能否上网。请问我想实现让客户端只能访问指定的某个url,可以实现吗?

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2013-10-22 14:10 |显示全部楼层
将你的iptables规则贴一下

论坛徽章:
0
发表于 2013-10-22 14:13 |显示全部楼层
# Generated by iptables-save v1.4.12 on Mon Oct 14 08:25:53 2013
*filter
:INPUT ACCEPT [616:234688]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [490:98065]
-A OUTPUT -m string --algo kmp --string "index" -j DROP
-A OUTPUT -j DROP
COMMIT
# Completed on Mon Oct 14 08:25:53 2013
我的要求很简单呀!客户端只能访问index.php,除此之外啥都不让。
请问如何实现呀?

论坛徽章:
2
技术图书徽章
日期:2013-10-31 10:04:19技术图书徽章
日期:2013-11-06 09:37:21
发表于 2013-10-22 14:29 |显示全部楼层
回复 5# ruanhg


    那就不该让从服务器出去的时候阻止啊,应该在进入服务时是就drop。试下下面的。
    -A INPUT -m string --algo kmp --string "index" -j ACCEPT
    -A INPUT -p all --dport 80 -j DROP
    可以试一下,不保证能行。

论坛徽章:
0
发表于 2013-10-22 14:41 |显示全部楼层
保存.rules文件,运行iptables-restore命令时提示:iptables-restore v1.4.12: unknown option "--dport"
如果把-p all 换成-p tcp则不提示出错,但客户端index网页访问不了。

论坛徽章:
2
技术图书徽章
日期:2013-10-31 10:04:19技术图书徽章
日期:2013-11-06 09:37:21
发表于 2013-10-22 14:48 |显示全部楼层
回复 7# ruanhg


    确实要使用-p tcp。
    老兄你确认不做任何防火墙的时候index能够访问吗?
    服务器本身能访问index页吗?

论坛徽章:
0
发表于 2013-10-22 15:04 |显示全部楼层
把所有的规则用#注释,然后保存rules文件,iptables-restor之后,确实可以访问index.php,不光是index页面可以访问,其它所有页面都能访问。

论坛徽章:
2
技术图书徽章
日期:2013-10-31 10:04:19技术图书徽章
日期:2013-11-06 09:37:21
发表于 2013-10-22 15:50 |显示全部楼层
这个经过测试的,你可以试试:
-A INPUT -p tcp -m string --algo kmp --string "index" --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 80 -j DROP
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP