iptables -m state的疑问
iptables -Fiptables -F -t nat
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
........
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --sport 80 -j ACCEPT
#限制只有80能通信
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
#我觉得上面这句加上以后对端口的限制全部失效,不加网页基本不能打开,哪位兄弟能给解释一下,谢谢。8O
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j ACCEPT
[ 本帖最后由 lxjhhit 于 2010-1-27 09:56 编辑 ] 没弄过,不过我记得 iptables 的规则是前面权限大于后面,这样如果符合前面的设定,那么这个通信就会被前面的条件设置而去处理,之后 iptebles 后面的设定就不用执行了。 iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --sport 80 -j ACCEPT
#限制只有80能通信
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
我的理解是不是想发布内网的一台WEB服务器呀?如果是这样的可以在PREROUTING链里来做iptables -t nat -A PREROUTING -p tcp --dport-j DNAT --to ip 也可以这样
iptables -t nat -A PREROUTING -p tcp --dport --syn -m state --state ESTABLISHED,NEW -j DNAT --to ip
也就是把规则全写在一条上面即可以了!
NEW:是TCP连接中的第1个包在/proc/net/ip_conntrack中有记载的
ESTABLISHED:则是已完成TCP三次握手的包
RELATED:是关联的包如FTP中用得到,此处不用。
页:
[1]