关于iptables

zxz0220

各位大侠，到底该打开哪些个udp端口才能正常浏览网页呢。我做的iptables 只有把匹配udp协议的包全放过才能进行正常网页浏览。我不想开那么多的udp端口，该打开那些端口呢？匹配tcp协议的包我打开了21、22、25、80、110这些。
诚心求教

platinum

你一定是禁止了UDP/53
在FORWARD里打开就好了（如果做NAT）
或者在OUTPUT里打开（如果单机上网）

fire-phoenix

帮你顶一下。
同时问一下楼主，你是如何打开80,21端口的？iptables的命令能不能贴出来？

zxz0220

原帖由 "platinum" 发表：
你一定是禁止了UDP/53
在FORWARD里打开就好了（如果做NAT）
或者在OUTPUT里打开（如果单机上网）

我新建了一个FORWARD的子链udp_package，FORWARD链的默认策略是DROP，但在子链中打开了udp/53端口，可还是不行。版主老大，该怎么办呢？

platinum

iptables -vL
把结果贴出来
如果你的firewall是写成一个shell的模式，贴出shell

zxz0220

Chain INPUT (policy DROP 12653 packets, 825K bytes)
pkts bytes target     prot opt in     out     source               destination         
12271 6582K tcp_packager  tcp  --  any    any     anywhere             anywhere            
11233  785K udp_packager  udp  --  any    any     anywhere             anywhere            
   50  4408 icmp_packager  icmp --  any    any     anywhere             anywhere            
1109 81267 ACCEPT     all  --  eth0   any     192.168.10.0/24      anywhere            

Chain FORWARD (policy DROP 1481 packets, 161K bytes)
pkts bytes target     prot opt in     out     source               destination         
   73  4216 icmp_packager  icmp --  any    any     anywhere             anywhere            
3018  336K udp_packager  udp  --  any    any     anywhere             anywhere            
  566 66380 tcp_packager  tcp  --  any    any     anywhere             anywhere            
  716 92399 ACCEPT     all  --  eth0   eth1    anywhere             anywhere            

Chain OUTPUT (policy ACCEPT 13528 packets, 6679K bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain icmp_packager (2 references)
pkts bytes target     prot opt in     out     source               destination         
   57  4604 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-request

Chain tcp_packager (2 references)
pkts bytes target     prot opt in     out     source               destination         
   16   784 ACCEPT     tcp  --  any    any     anywhere             anywhere            multiport dports ftp,ssh,smtp,http,pop3
11514 6582K ACCEPT     tcp  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED

Chain udp_packager (2 references)
pkts bytes target     prot opt in     out     source               destination         
   40  2594 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:domain

zxz0220

如果我把udp_packager中的udp包全部ACCEPT，就可以正常访问

platinum

iptables -A FORWARD -m state --ESTABLISHED,RELATED -j ACCEPT

zxz0220

对了，内网:eth0 外网:eth1 ，该机器是网关，squid+iptables 做的透明代理

zxz0220

[quote]原帖由 "platinum"]iptables -A FORWARD -m state --ESTABLISHED,RELATED -j ACCEPT[/quote 发表：

老大，为什么要加这一行呢，我不是在子链中放行了匹配ESTABLISHED和RELATED状态的包吗？