向 platinum请教一个iptables 的问题。

一个小人物

platinum你好，请教一个问题。从外网来的数据通过防火墙要访问防火墙后面的一台服务器，它依次要通过，mangle的 prerouting 、nat 的prerouting、mangle的forward 、filter 的forward 、mangle的postrouting、nat的postrouting。才能到达这个服务器。对吧？那么当这个服务器响应了它的请求，并向其返回数据时，是否也要依次通过上面这些链的检查？谢谢。

一个小人物

在吗?

platinum

http://blog.platinum.net.cn/index.php?op=ViewArticle&articleId=70&blogId=1
不同的链有不同的用途，不能单单去看数据包走的顺序，要“专链专用”

一个小人物

我的意思是说，我在编写规则时，是否需要考虑这个服务器返回的数据包要经过的规则链，要允许它通过。是否需要？

platinum

一般情况下，仅仅 DROP 掉你要 DROP 的就好了，其他不必考虑
因为很多协议，比如 FTP 这样的，会动态牵扯很多端口，如果在 OUTPUT 做限制只能是多给自己找麻烦

一个小人物

另外，在IPtables中，如果我允许了状态为new的数据包通过，则任何端口的数据请求都将充许，如果只允许状态为established和related 的数据包通过，那么外网的所有请求都被屏蔽。这样，我该如果使用这种状态防火墙呢？
比如：

iptables -A INPUT  -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp  -i eth0 --dport 80 -j ACCEPT

iptables -A INPUT  -p tcp -j DROP

iptables -A OUTPUT -j ACCEPT


这样还能请求web服务吗？

一个小人物

原帖由 "platinum" 发表：
一般情况下，仅仅 DROP 掉你要 DROP 的就好了，其他不必考虑
因为很多协议，比如 FTP 这样的，会动态牵扯很多端口，如果在 OUTPUT 做限制只能是多给自己找麻烦

这样的话，因为我是访问防火墙后面的一台服务器，是不是应该将向外走的FORWARD链打开。即： iptables -A  FORWARD  -i  eth0  -o eth1  -j ACCEPT                          

eth0 内网网卡    eth1  外网网卡。

platinum

原帖由 "一个小人物" 发表：
另外，在IPtables中，如果我允许了状态为new的数据包通过，则任何端口的数据请求都将充许，如果只允许状态为established和related 的数据包通过，那么外网的所有请求都被屏蔽。这样，我该如果使用这种状态防火墙呢？
比如：

iptables -A INPUT  -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp  -i eth0 --dport 80 -j ACCEPT

iptables -A INPUT  -p tcp -j DROP

iptables -A OUTPUT -j ACCEPT


这样还能请求web服务吗？

你试试咯
如果你真的想把问题搞清楚，不妨说说你的理解

platinum

原帖由 "一个小人物" 发表：

这样的话，因为我是访问防火墙后面的一台服务器，是不是应该将向外走的FORWARD链打开。即： iptables -A  FORWARD  -i  eth0  -o eth1  -j ACCEPT                           

eth0 内网网卡    eth1  外网网卡。

如果后面有 IP，你肯定做过 DNAT
但我相信，你的 DNAT 不是随便做的

一个小人物

原帖由 "platinum" 发表：

如果后面有 IP，你肯定做过 DNAT
但我相信，你的 DNAT 不是随便做的

是有DNAT。我是想问，是否需要将FORWARD向外的规则设为允许？