这个iptables用起来很不错！大家分享

attiseve

[quote]原帖由 "枫影谁用了"][/quote 发表：

有些问题不是技术能解决的。关键靠管理和引导。

枫影谁用了

原帖由 "attiseve" 发表：

有些问题不是技术能解决的。关键靠管理和引导。

啥意思?什么管理和引导?

kentel

好帖子，长见识了，顺便问一下，你使用的 ip2p对常见的应用能控制么，比如说emule(edonkey),bt等，还有就是现在的bt0.59使用了dht

txkss

我搞不明白为什么要加载这几个模块啊
默认它们不加载吗？
另外就是这几个模块的作用是什么啊
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

谢谢

枫影谁用了

原帖由 "txkss" 发表：
我搞不明白为什么要加载这几个模块啊
默认它们不加载吗？
另外就是这几个模块的作用是什么啊
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

谢谢

要内核支持,如果这些模块你在编译内核时选择的是M的话,就要加载,如果你编译进内核,那一般就不用加载了,直接可以用!
ipt_MASQUERADE就是起“数据包伪装”的功能的模块。
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
加载ip_nat_ftp模块（若没有编译进内核），以使ftp能被正确NAT

不知道 我这样解释你可不可以明白
关于有状态功能，重点在于后三个模块：
ip_conntrack模块能够使防火墙具有连接跟踪能力。（通过输入 "cat /proc/net/ip_conntrack" 可以查看您的机器参与的活动网络连接。）

加载这个模块后，基本上所有有状态的返回包都能识别，例：telnet,http,QQ,mail,ping,dns等。

实际上，加载了ip_conntrack模块，ftp已经能够登陆，并能使用象pwd,cd等命令，但当使用ls命令显示文件内容时，就会timeout。原因在于

显示文件列表的包防火墙无法识别，就会进入默认策略----禁止，此时就需要加载ip_conntrack_ftp模块。

ip_conntrack_ftp模块使防火墙能够识别FTP某类特殊的返回包。

如果防火墙上对所有出去的返回包作了伪装，就需要加载ip_nat_ftp模块。
ip_nat_ftp模块在出去的包作了伪装以后，必须加载，否则防火墙无法知道返回的包该转发到哪里。

txkss

谢谢老哥
非常感谢
我在接着往下看你写的规则呢

lixu

1. 
   
2. iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
   
3. iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
   
4. iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
   

复制代码

请问楼主，你这几句封bt的规则管用吗？我也想封掉bt~~

welldrong

有效，效果还不错滴说~~~

xhc

有封DUDU 下载的吗
我的网终架构和楼主一样
以下是我的配置
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.200
iptables -t nat -A PREROUTING  -p tcp --dport 22 -i ppp0 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to 192.168.0.200
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "qq.com" -j DROP
iptables -I FORWARD -s 192.168.0.0/24 -m string --string "kele8" -j DROP
iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP
iptables -A INPUT -s 192.186.0.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
iptables -A INPUT -s 192.186.0.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
/etc/rc.d/init.d/iptables save
/etc/rc.d/init.d/iptables start

xhc

随便说一样我的iptables 是1.3.3