论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2006-08-11 15:27 |只看该作者 |倒序浏览

我的规则:
Chain FORWARD (policy DROP)
target    prot opt source             destination
DROP    all  --  0.0.0.0/0          0.0.0.0/0          ipp2p v0.8.1_rc1 --bit
ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0          tcp dpt:80
先是用iptables -P FORWARD DROP
测试后发现内网机器啥都访问不了,比如WEB,PING,但我加了
iptables -A FORWARD -p icmp -j ACCEPT后,可以PING外网,奇怪的是我加上上面的规则后用IE无法打开网页,DNS没问题
加上规则后:

Chain FORWARD (policy DROP)
target    prot opt source             destination
DROP    all  --  0.0.0.0/0          0.0.0.0/0          ipp2p v0.8.1_rc1 --bit
ACCEPT    tcp  --  0.0.0.0/0          0.0.0.0/0          tcp dpt:80
ACCEPT    icmp --  0.0.0.0/0          0.0.0.0/0

[root@RHEL4 soft]# iptables -nL -t nat
Chain PREROUTING (policy ACCEPT)
target    prot opt source             destination

Chain POSTROUTING (policy ACCEPT)
target    prot opt source             destination
MASQUERADE  all  --  0.0.0.0/0          0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target    prot opt source             destination

on-fire

家境小康

论坛徽章:: 0

2楼 [报告]

发表于 2006-08-11 15:45 |只看该作者

回复 1楼 Linux@初学者的帖子

当然是有很大的问题，FORWARD链默认为DROP，能出去，但数据包回不来，因为sport为80的包不能通过防火墙回来，所以不能通过IE去访问互联网。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Linux@初学者

家境小康

论坛徽章:: 0

3楼 [报告]

发表于 2006-08-11 16:00 |只看该作者

那我加上sport 80还不行,但我加上:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
就行了,请句是啥意思?

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

on-fire

家境小康

论坛徽章:: 0

4楼 [报告]

发表于 2006-08-11 17:19 |只看该作者

回复 3楼 Linux@初学者的帖子

看来您真的是要认真的看看文档资料才行。
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
说的是连接在ESTABLISHED,RELATED状态下包被接受，至于这两个状态是什么东西，请看书。（因为不是三两句话能说得明白的）

[ 本帖最后由 on-fire 于 2006-8-11 17:22 编辑 ]