Linux 防火墙 Iptables

樱家冢 · 发表于 2003-3-14 14:34:39

太好了，终于被我发现……
古老大，我爱你，搞定了，呵呵。

tonybeo · 发表于 2003-3-17 20:27:15

你的网卡地址:
eth0:192.168.20.8 255.255.255.0
eth1:211.148.130.133 255.255.255.240
--------------------------------------------
#[0] -A INPUT -s 211.148.130.129 -i eth1 -p tcp -m tcp --dport 3306 -j DROP
#[0] -A INPUT -s 192.168.20.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT
#[0] -A INPUT -s 211.148.130.128/255.255.255.240 -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT
#[0] -A INPUT -p tcp -m tcp --dport 3306 -j DROP
---------------------------------------------
这里的:211.148.130.129应是211.148.130.133的上行网关地址,意思是封堵所有来自网关地址的数据包, 211.148,130,128是上一个子网的网络地址为什么要允许通过, 这样设置是什么目的, 不知道我说的有没有错误,请指教!

gugong · 发表于 2003-3-17 20:57:54

211.148.130.129 是路由器的 ip 地址。对不起，我没有指明。

任何外部的机器来访问时，都是通过这个路由器。

其实路由器自身不会来访问这个端口。来自外部的客户端的IP一般正常不会显示是路由器的IP地址。可是因为我怕某些假的、假的 ... ... ！

211.148.130.128/255.255.255.240 是指：211.148.130.128—211.148.130.143

tonybeo · 发表于 2003-3-18 08:00:58

211.148.130.129 是路由器的 ip 地址。对不起，我没有指明。

任何外部的机器来访问时，都是通过这个路由器。

其实路由器自身不会来访问这个端口。来自外部的客户端的IP一般正常不会显示是路由器的IP地址。可是因为我怕某些假的、假的 ... ... ！

211.148.130.128/255.255.255.240 是指：211.148.130.128—211.148.130.143
-----------------------------------------------------------------
这样能封堵住所有来自路由器的任何路由,而只有这个子网内的地址可以访问你的3306端口,但也不能从路由器方进入,只能通过路由器下的以太网交换机或者其它路由直接访问,不知道分析的是不是对的!

gugong · 发表于 2003-3-18 08:10:32

但是：

比如 211.148.130.138「属于211.148.130.128/255.255.255.240 之内」来访问的话，也是通过路由器的路由来进行访问的。这是我这个防火墙规则所允许的。

我只所以 [0] -A INPUT -s 211.148.130.129 -i eth1 -p tcp -m tcp --dport 3306 -j DROP
是害怕外面的客户端的访问伪装成来自路由器的IP地址（211.148.130.129）。

别的，您都理解正确。

tonybeo · 发表于 2003-3-18 09:09:23

iptables我不是很懂,还要多请教.我是按路由器的原理分析的,可能有偏差.不过关于iptables我还一点疑问,如果我想关闭所有端口,而只开一些服务端口,或设置一下端口的访问路由下面的设置请帮我找一找有没有错误!(是在你的基础上改的)
# 防止 Internet 网的用户访问服务器（all 端口）：不知道是不是这样的?
[0] -A INPUT -s 211.93.112.30 -i eth0 -p tcp -m tcp -j DROP
#
#[0] -A INPUT -s 0.0.0.0 -i eth0 -p tcp -m tcp -j DROP 这样可以吗?
#允许来自INTERNET的访问 110 端口
[0] -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
[0] -A INPUT -s 211.93.112.32/255.255.255.224 -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT
[0] -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
#
# 只允许211.93.113.33地址的用户访问 ftp 服务器（21 端口）：
[0] -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
[0] -A INPUT -s 211.93.113.33 i eth1 -p tcp -m tcp --dport 21 -j ACCEPT
[0] -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
#

gugong · 发表于 2003-3-18 14:18:19

只要把网卡、来源地址、端口号码搞对，就是了。

tonybeo · 发表于 2003-3-19 08:23:02

我想说的是
[0] -A INPUT -s 211.93.112.30 -i eth0 -p tcp -m tcp -j DROP
#
[0] -A INPUT -s 0.0.0.0 -i eth0 -p tcp -m tcp -j DROP
这两行有没有区别
还有就是在执行以上语句后下面的是否还有效?
[0] -A INPUT -s 211.93.112.32/255.255.255.224 -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
我的目的是关闭除110以外的所有端口,或者你有更好的方法能封掉一段端口.

kkkpa · 发表于 2003-3-24 10:04:40

gugong:
192.168/16 = 192.168.0.0/16 或者 192.168.0.0/255.255.0.0 ?
or
replace 192.168/16 with 192.168.0.0/16 或者 192.168.0.0/255.255.0.0
我是新手

.

haohaoo · 发表于 2003-3-29 13:56:55

那我这个服务器要怎么写iptables
服务器只有一张网卡的，有一个公网的IP，用这个IP可以对校内和对校外服务器，不过校内和校外连接到这台服务器的路由就不同了。
服务器的需要开放ftp、web、mail服务
谢谢

cwwhy · 发表于 2003-3-31 22:38:33

网关服务器要开ftp的ip转发服务,不知该怎么设置啊!

cwwhy · 发表于 2003-4-2 22:37:53

内网的机器不能上ftp? 郁闷!!!

withlove · 发表于 2003-4-16 22:06:08

服务器是越简单越安全

s_man · 发表于 2003-4-17 10:18:46

top！
明白了谢谢各位大侠！

ffman · 发表于 2003-4-22 00:10:58

thanks

		自动登录	找回密码
密码			注册