这个iptables用起来很不错！大家分享

wind521

不错，网友可以拿下去自己去实验一下

leenfm

好东西````

jiecho

iptables -I INPUT -s 192.168.0.50 -j ACCEPT
iptables -I FORWARD -s 192.168.0.50 -j ACCEPT
#192.168.0.50是我的机子，全部放行！


鄙视你！           

枫影谁用了

原帖由 "jiecho" 发表：



鄙视你！           

  

platinum

点评一下

先说几个创意很好的地方

1. 
   
2. 1、iptables -A FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
   

复制代码

这种思路不错，运用灵活，且多个模块一起使用，用 -p udp --dport 53 做数据分敛，可以降低由于 string 模块造成的效率低下问题，可见是认真考虑过的

2、文中用到了 time、ipp2p、string、connlimit 等模块，大大扩大了 iptables 的功能，不错！

3、利用了 sysctl 实现了一些修改 TCP/IP 的内核参数，实现一些自己的目的，不错，但要注意内存是否够大


但也有一些不足，说一下

1. 
   
2. 1、insmod ipt_MASQUERADE
   

复制代码

如果用 insmod 加载模块，必须制定模块路径以及模块全名，否则要用 modprobe

1. 
   
2. 2、modprobe ip_conntrack_ftp
   

复制代码

这个是在本机上开 ftp 服务要用到的，如果做 nat 还应该加载 ip_nat_ftp

1. 
   
2. 3、iptables -A INPUT -i eth1 -p tcp -m multiport --dports
   

复制代码

443,139,80,21,53,110,25 -j ACCEPT
DNS 服务是 UDP/53

1. 
   
2. 4、iptables -F FORWARD
   

复制代码

这个其实没必要了，因为在 script 一开始的时候就已经有了 iptables -F，意思是清空 filter 表中所有链的规则

5、filter 表中 FORWARD 链的默认规则问题
我没有看到 FORWARD 表中有设置默认规则的迹象，也许是你一时倏忽了

6、关于一些限制的阀值问题
有的值我感觉过小，有可能会造成网络不通的现象，阀值其实是个双刃剑，这个需要多测试才知道


说一下需要改进的地方
文中有大量这样的代码

1. 
   
2. iptables -A FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP
   

复制代码

其实完全可以用 -N 建立一个新链，把所有规定时间内的 UDP/53 都转过去，然后统一处理，这样相对效率会高一些



总的来说还是很不错的，在很短的时间内能把 iptables 学习到这种程度可见是下了一番苦心
继续努力哦

枫影谁用了

原帖由 "platinum" 发表：
这个其实没必要了，因为在 script 一开始的时候就已经有了 iptables -F，意思是清空 filter 表中所有链的规则

5、filter 表中 FORWARD 链的默认规则问题
我没有看到 FORWARD 表中有设置默认规则的迹象，也许是你..........

谢谢platinum的指导！我继续努力！
上面的提到问题，请看这个贴http://bbs.chinaunix.net/forum/viewtopic.php?t=601964
我出现了这个问题！所以我才加载！当然，请你指教

ioly

长见识来了！   

枫影谁用了

已经改正了白金兄提出的几个错误 ！

platinum

http://bbs.chinaunix.net/forum/viewtopic.php?t=601993&show_type=
这样做可不好。。。。

ipaddr

学习，