[问题求助]求助：iptables [复制链接]

上一主题下一主题查看指定楼层

离线楓葉寶寶.

初中三年级

发帖: 1976

C币: -132244

威望: 352

贡献值: 1

银元: -3

铜钱: 4443

人人网人气币: 0

只看楼主倒序阅读使用道具楼主发表于: 2009-05-01

我的linux as. 3 系统内核从2.4.21.4升级到了2.4.21.15后，发现我原来在2.4.21.4内核下配置的iptables不能使用了，为什么？我该怎.样修改才能.继续使用？           鲜花
以下是我的iptables配置，请各位高手帮.忙。              乙肝

# /etc/sysconf.ig/iptables. 文件投资
#
#======================= 古公 ========.==========.=====           婚庆

#
# mangle 段
*mangle
REROUTING ACCEPT [0] http://upload.bbs.csuboy.com/Mon_1004/126_6883_e3d115ab71927ac.gif[/img]虚拟主机
:OUTPUT ACCEPT [0.] 学习
COMMIT
#

#
# nat 段
*nat
REROUTING ACCEPT [0] http://upload.bbs.csuboy.com/Mon_1004/126_6883_e3d115ab71927ac.gif[/img].
OSTROUTING ACCEPT [0] http://upload.bbs.csuboy.com/Mon_1004/126_6883_e3d115ab71927ac.gif[/img]--------------彩票
:O.UTPUT ACCEPT [0] --------------彩票
#
# 为使用 SQ.UID 作“透明代理”而设定！电脑
#
# 没有指定网卡、地址：
#.[0] -A PREROUTING -p tcp -m tcp --dport 80 -j RED.IRECT --to-ports 3128 .
#
# 指定网卡、地址：
[0] -A PREROUTING -s 192.168.20.0/255.255.255.0 -i eth0 .-p tcp -m tcp --dport 80 -j REDI.RECT --to-ports 3128 .    健康
[0] -A PREROUTING -s 192.168.20.0/255..255.25.5.0 -i eth0 .-p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128     外汇
# 将对于. 80、443 端口.的访问重定向到 3128 端口。 .
#
#
# 这些机器可以走这个机器做网关上 I.nterne.t 网。 (广告)
# 需要在 /etc/sysct.l..conf 文件里面修改成 net.ipv4.ip_forward = 1            建材
# 或者 e.cho 1 >; /proc/.sys/net/ipv4/ip_forward <性病>
# 由于.利用 SQ.UID 实现了“透明代理”，Masq 取消相应的客户地址。 <性病>
# .这里，只剩下几个需要利用“IP伪装”来上网的机器（可以上 QQ、雅.虎通、msn 之类的）： (        游戏          )
#
[0] -A POSTROUTING -s. 192..168.20.3 -j MASQUERADE 服务器
[0] -A POSTRO..UTING -s 192.168.20.10 -j MASQUERADE .
[0] -A POSTR.OUTING -s 192.168.20.32/255.255.25.5.240 -j MASQUERADE 域名
# 若你的公网的 IP .地址是.固定的，使用这个语句似乎更好些：     健康
#[0] .-A POST.ROUTING -s .192.168.20.32/255.255.255.240 -j SNAT --to 211.148.130.133     健康
COMMIT
#

#
# filter 段
*filter
:INPUT. ACCEPT [0] [成人用品]
:F.ORWARD ACCEPT [0] .
:OUTPUT ACCEPT [0]. --------------彩票

#
# 屏蔽来.自 microsoft 的站点: 虚拟主机
[0.] -A INPUT -s 207.46.0.0/255.25.5.0.0 -j DROP .
[0] -A .INPUT -d 207.46.0.0/255..255.0.0 -j DROP 投资
#

# 防止IP欺骗：
# 所谓的IP欺骗就是指.在IP包中存在着不可能的IP源.地址或目标地址。             杀毒
# eth1是一个与外部Internet相连，而192.1.68.20.0则是内部网.的网络号，            女人
# 也就是说，如果有一个包从eth1进入主机.，而说自己的源地址是.属于电脑
# 192.168.20..0网络，或者说它.的目标地址是属于这个网络的，那么这显     健康
#. 然是.一种IP欺骗，所以我们使用DROP将这个包丢弃。 (广告)
[0] -A INPUT -d 19.2.168.20.0/255.255.255.0. -i eth1 -j DROP .
[0] -A INPUT -s 192.168.20.0/255.255..255.0 -i eth1 -j DROP.     外汇
#
# 同样.的，如果有包要通过eth1向Internet，而且它的源地址或目标地址是.属于 .
# 网络192.168..20.0，那么显然也是不可能的.。我们仍然使用DROP将它丢弃。外贸
[0] -A OUT.PUT -d 192.168.20.0/255..255.255.0 -o eth1 -j DROP .
[0] -A OUTPUT -s 192.16.8.20.0./255.255.255.0 -o eth1 -j DROP 域名
#

# 防止广播包从IP.代理服务器进入局域网： [成人用品]
[0] -A INPUT -s 255.255.255..255 -i eth0. -j DROP .
[0] -A. INPUT -s 224.0.0.0/2.24.0.0.0 -i eth0 -j DROP .
[0] -A. INPUT -d 0.0.0.0 -i eth0 -j DROP .学习
# 当包的源地址是255.255.255.255或目标地址是0.0..0.0.，则说明它是一个外贸
# 广播包，当广播包想进入eth0时，我.们就应该DENY，丢弃它。而240.0.0..0/3 [成人用品]
# 则是国际标准的.多目广播地址，当有一个源地址是属于多目广播.地址的包， .
# 我们将用DROP策略，丢弃它。 .              乙肝

#
# 屏蔽 windows xp. 的 5000 端口（这个端口是莫名.其妙的！）             杀毒
[0] -A INPUT -p tcp -.m tcp --sport. 5000 -j DROP 电脑
[0] -A INPUT -p. udp -m udp --sport 5000 -.j DROP (        游戏          )
[0] -A OUTPUT -p tcp -m tcp --.dport 5000. -j DROP .
[0]. -A OUTPUT -p udp -m udp -.-dport 5000 -j DROP (广告)
# 原来.是用来跑 vpn 的，呵呵，我误解了。学习
#

#
# 防止 Int.ernet 网的用.户访问 SAMBA 服务器： .
[0] -A INPUT -s 211.148.130.129 -i et.h1 -p tcp -m tcp --dp.ort 137:139 -.j DROP 电脑
[0] -A INPU.T -s 211.148.130.129 -i e.th1 -p. udp -m udp --dport 137:139 -j DROP .
[.0] -A INPUT -s 192.168.20.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 137:139 .-j ACC.EPT             杀毒
[.0] -A INPUT -s 192.168..20..0/255.255.255.0 -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT .
[0] -A INPUT -s 211.148.130.1.28/255.255.255..240 -i eth1 -p tcp -.m tcp --dport 137:139 -j ACCEPT           婚庆
[0] -A INP.UT -s 211.1.48.130.128/255.255.255.240 -i eth1 -p udp -m udp --dport 137:1.39 -j ACCEPT
[0] -A INPUT -p tcp -m. tcp --dport 137.:139 -j DROP           婚庆
[0] -A INPUT -p udp -m udp --d.port 137:139 -.j DROP 学习
#

#
# 对于本局域网用户不拒.绝访问：     美容
[0] -A INPUT -s 192.168.20.0/255.255.255.0 -i eth0 -p. t.cp -j ACCEPT 域名
[0] -A IN.PUT -s 192.168.20.0/255.255.255.0 -i eth0 -p .udp -j ACCEPT .
#

#
[0] -A INPUT -i eth1 -p udp -m udp --dpo.rt. 3 -j DROP 服务器
[0] -A INPUT -i eth1 -p tcp -m tcp --dport .3. -j DROP 服务器
[0] -A INPUT -i et.h1 -p tcp -m tcp --dpo.rt 111 -j DROP     健康
[0] -A INPUT -i eth1 -p .udp .-m udp --dport 111 -j DROP --------------彩票
#

#
[0]. -A INPUT -i eth1 -p udp -m udp --dport 587. -j DROP            建材
[0] -A INPUT -i e.th1 -p tcp -m. tcp --dport 587 -j DROP              汽车
#

# 防止 Internet 用户访问 SQUID 的 3128 端.口.： .
[0] -A INPUT -s 21.1.148.130.129 .-i eth1 -p tcp -m tcp --dport 3128 -j DROP            鲜花
[0] -A INPUT -s 192.168.20.0/255..255.255.0 -i eth0 -p tcp -m tcp -.-dport 3128 -j A.CCEPT               乙肝
[0] -A INPUT -s 211.148.130.128/255.255.255.240 -i eth1 -p tcp -m tcp. .--dport 3128 -j ACCE.PT            女人
[0] .-A INP.UT -p tcp -m tcp --dport 3128 -j DROP .
#

# 让人家 ping. 不通我！ <性病>
[0] -A INPUT -i eth1 -s 192.168.30.0/24 -p icmp -m icmp --ic.mp-t.ype 8 -j ACCE.PT 投资
[0] -A INPUT. -i eth1. -s 211.148..130.128/28 -p icmp -m icmp --icmp-type 8 -j ACCEPT     外汇
[0]. -.A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j DROP --- 印刷
#

COMMIT
# =====.============.====== 结束 =======================              电子
# ===================.==.== 古公 =======================外贸