请教，如果对内网某IP限制只能访问某公网IP，iptables应怎样设置？

wendesign

环境：radhat9,iptables v1.3.5,NAT

zsgd

iptables -P FORWARD DROP
iptables -A FORWARD -s 1.2.3.4 -d 5.6.7.8 -j ACCEPT

springwind426

iptables -A FORWARD -s IP1 -d IP2 -j ACCEPT
iptables -A FORWARD -s IP1 -j DROP

如果你在该机上又做了透明代理的话：
还需要
iptables -t nat -A PREROUTING -p tcp -s IP1 -d IP2 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp -s IP1 -d IP2 --dport 80 -j DROP


原则就是：
不管你在哪个链上做了访问控制，都要进行相关的设置：
先允许指定地址对指定网络的访问权限，然后再禁止该地址到所有网络的访问权限。因为，通常情况下都对内网进行允许访问。因此这两条控制语句必须放到对内网进行允许访问的语句前面。

[ 本帖最后由 springwind426 于 2006-5-19 19:52 编辑 ]

wendesign

谢谢

platinum

原帖由 zsgd 于 2006-5-19 17:29 发表
iptables -P FORWARD DROP
iptables -A FORWARD -s 1.2.3.4 -d 5.6.7.8 -j ACCEPT

DNS 请求呢？
回包呢？

iptables 实际上玩的就是逻辑，这样的逻辑。。。。

wendesign

难怪全部出不去了

版本指引下吧？？？？

－－－－－－－－－－－－－－－
iptables -t nat -A PREROUTING -p tcp -s IP1 -d IP2 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp -s IP1 -d IP2 --dport 80 -j DROP
－－－－－－－－－－－－－－－－－－－－－－－－－－－
不限端口怎样处理？？？

[ 本帖最后由 wendesign 于 2006-5-24 11:38 编辑 ]

platinum

如果对内网某IP限制只能访问某公网IP

1. 
   
2. # 允许该 IP 通过外网 DNS 解析 IP 地址
   
3. iptables -I FORWARD 1 -s 内网IP -p udp --dport 53 -j ACCEPT
   
4. 
   
5. # 允许该 IP 访问外网某 IP
   
6. iptables -I FORWARD 2 -s 内网IP -d 外网IP -j ACCEPT
   
7. 
   
8. # 对该 IP 访问外网 IP 的数据回包做 ACCEPT 处理
   
9. iptables -I FORWARD 3 -d 内网IP -m state --state RELATED,ESTABLISHED -j ACCEPT
   
10. 
    
11. # 该 IP 对外的其余访问一律 DROP
    
12. iptables -I FORWARD 4 -s 内网IP -j DROP
    

复制代码

若你的网络使用了透明代理，就单独做一下针对那个 IP 的特殊设置，让那个 IP 不使用透明代理，以免出乱子

1. iptables -t nat -I PREROUTING -s 内网IP -j ACCEPT

复制代码

wendesign

原帖由 platinum 于 2006-5-24 12:02 发表
如果对内网某IP限制只能访问某公网IP

[code]
# 允许该 IP 通过外网 DNS 解析 IP 地址
iptables -I FORWARD 1 -s 内网IP -p udp --dport 53 -j ACCEPT

# 允许该 IP 访问外网某 IP
iptables -I FORWARD 2  ...

谢了版主，运用中。。。。。