打印

Linux 防火墙 Iptables

樱家冢

公社版主

Rank: 10

发短消息
加为好友
当前离线

16^# 大中小发表于 2003-3-14 14:34 只看该作者

太好了，终于被我发现……
古老大，我爱你，搞定了，呵呵。

TOP

tonybeo

注册会员

Rank: 2

发短消息
加为好友
当前离线

17^# 大中小发表于 2003-3-17 20:27 只看该作者

你的网卡地址:
eth0:192.168.20.8 255.255.255.0
eth1:211.148.130.133 255.255.255.240
--------------------------------------------
#[0] -A INPUT -s 211.148.130.129 -i eth1 -p tcp -m tcp --dport 3306 -j DROP
#[0] -A INPUT -s 192.168.20.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT
#[0] -A INPUT -s 211.148.130.128/255.255.255.240 -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT
#[0] -A INPUT -p tcp -m tcp --dport 3306 -j DROP
---------------------------------------------
这里的:211.148.130.129应是211.148.130.133的上行网关地址,意思是封堵所有来自网关地址的数据包, 211.148,130,128是上一个子网的网络地址为什么要允许通过, 这样设置是什么目的, 不知道我说的有没有错误,请指教!

TOP

gugong

公社版主

Rank: 10

发短消息
加为好友
当前离线

18^# 大中小发表于 2003-3-17 20:57 只看该作者

211.148.130.129 是路由器的 ip 地址。对不起，我没有指明。

任何外部的机器来访问时，都是通过这个路由器。

其实路由器自身不会来访问这个端口。来自外部的客户端的IP一般正常不会显示是路由器的IP地址。可是因为我怕某些假的、假的 ... ... ！

211.148.130.128/255.255.255.240 是指：211.148.130.128—211.148.130.143

高举马列主义毛泽东思想！！！

TOP

tonybeo

注册会员

Rank: 2

发短消息
加为好友
当前离线

19^# 大中小发表于 2003-3-18 08:00 只看该作者

211.148.130.129 是路由器的 ip 地址。对不起，我没有指明。

任何外部的机器来访问时，都是通过这个路由器。

其实路由器自身不会来访问这个端口。来自外部的客户端的IP一般正常不会显示是路由器的IP地址。可是因为我怕某些假的、假的 ... ... ！

211.148.130.128/255.255.255.240 是指：211.148.130.128—211.148.130.143
-----------------------------------------------------------------
这样能封堵住所有来自路由器的任何路由,而只有这个子网内的地址可以访问你的3306端口,但也不能从路由器方进入,只能通过路由器下的以太网交换机或者其它路由直接访问,不知道分析的是不是对的!

TOP

gugong

公社版主

Rank: 10

发短消息
加为好友
当前离线

20^# 大中小发表于 2003-3-18 08:10 只看该作者

但是：

比如 211.148.130.138「属于211.148.130.128/255.255.255.240 之内」来访问的话，也是通过路由器的路由来进行访问的。这是我这个防火墙规则所允许的。

我只所以 [0] -A INPUT -s 211.148.130.129 -i eth1 -p tcp -m tcp --dport 3306 -j DROP
是害怕外面的客户端的访问伪装成来自路由器的IP地址（211.148.130.129）。

别的，您都理解正确。

高举马列主义毛泽东思想！！！

TOP

tonybeo

注册会员

Rank: 2

发短消息
加为好友
当前离线

21^# 大中小发表于 2003-3-18 09:09 只看该作者

iptables我不是很懂,还要多请教.我是按路由器的原理分析的,可能有偏差.不过关于iptables我还一点疑问,如果我想关闭所有端口,而只开一些服务端口,或设置一下端口的访问路由下面的设置请帮我找一找有没有错误!(是在你的基础上改的)
# 防止 Internet 网的用户访问服务器（all 端口）：不知道是不是这样的?
[0] -A INPUT -s 211.93.112.30 -i eth0 -p tcp -m tcp -j DROP
#
#[0] -A INPUT -s 0.0.0.0 -i eth0 -p tcp -m tcp -j DROP 这样可以吗?
#允许来自INTERNET的访问 110 端口
[0] -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
[0] -A INPUT -s 211.93.112.32/255.255.255.224 -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT
[0] -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
#
# 只允许211.93.113.33地址的用户访问 ftp 服务器（21 端口）：
[0] -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
[0] -A INPUT -s 211.93.113.33 i eth1 -p tcp -m tcp --dport 21 -j ACCEPT
[0] -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
#

TOP

gugong

公社版主

Rank: 10

发短消息
加为好友
当前离线

22^# 大中小发表于 2003-3-18 14:18 只看该作者

只要把网卡、来源地址、端口号码搞对，就是了。

高举马列主义毛泽东思想！！！

TOP

tonybeo

注册会员

Rank: 2

发短消息
加为好友
当前离线

23^# 大中小发表于 2003-3-19 08:23 只看该作者

我想说的是
[0] -A INPUT -s 211.93.112.30 -i eth0 -p tcp -m tcp -j DROP
#
[0] -A INPUT -s 0.0.0.0 -i eth0 -p tcp -m tcp -j DROP
这两行有没有区别
还有就是在执行以上语句后下面的是否还有效?
[0] -A INPUT -s 211.93.112.32/255.255.255.224 -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
我的目的是关闭除110以外的所有端口,或者你有更好的方法能封掉一段端口.

TOP

kkkpa

新手上路

Rank: 1

发短消息
加为好友
当前离线

24^# 大中小发表于 2003-3-24 10:04 只看该作者

gugong:
192.168/16 = 192.168.0.0/16 或者 192.168.0.0/255.255.0.0 ?
or
replace 192.168/16 with 192.168.0.0/16 或者 192.168.0.0/255.255.0.0
我是新手

.

TOP

haohaoo

新手上路

Rank: 1

发短消息
加为好友
当前离线

25^# 大中小发表于 2003-3-29 13:56 只看该作者

那我这个服务器要怎么写iptables
服务器只有一张网卡的，有一个公网的IP，用这个IP可以对校内和对校外服务器，不过校内和校外连接到这台服务器的路由就不同了。
服务器的需要开放ftp、web、mail服务
谢谢

http://www.CnLinux.net CnLinux.net工作笔记 ----将你工作中的心得在这里记录下来与大家共享 C++ 语言程序设计教程 MySQL 中文参考手册 Iptables 指南 Apache 中文手册 -------------------------------------- Linux公社广东科技干部学院联络员