[问题求助]IPTABLES自定义防火墙导致无法进入X-WIN????? [复制链接]

我用IPTABLES自定义防火墙并作代理上网.设置为开机直接启动,一直用的好好的,昨天对此脚本修改了一下,添加了部分规则,当时运行也正常,完后关机,第二天开机后发现无法进入X-WINDOWS(我一直是从字符界.面用STA.RTX进窗口的),有刚启动时的画面鼠.标,但经过漫长的10多分钟,显示有错误发生,具体让查看X.Free86.0.log,不过我看了.没什么问题.             汽车
我停了IPTABLES服务(/SBIN/SERVICE IPTABLES .STOP),再用.STARTX启动X-WIN又正.常了,进入到X-WIN后,如果开启自定义的防火墙,工具拦中的项目都可以使用,原来打开的程序也可以使用,不过如果点击桌面图标想开启程序,马上会没反应,桌面所以图标不见成了空的,此时如果用开始.菜单关机什么的,系统就没反应,状如死机.不过可以用CTRL+ALT+BACKSPACE可强行退出X-WIN.我把新加的部分IPTABLES规则删除后,保留为原来系统..能正常登录时的防火墙脚本,问题依然如故,解决不了..
  用系统.自带的.防火墙,不论设置什么级别都正常,可以登录.<性病>
  我用的系统是REDHAT9.0,这个问题怎.么解决,请各位.大侠帮忙.(        游戏          )

你加了什么？是不是把7100给关了？

不会吧，在本机上运行xw会与firewall有这么大关系？

#!/bin/bash
echo "Starting iptables rules..."
echo 1 >;/proc/sys/net/ipv4/ip_forward

/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG

IPT=/sbin/iptables
IP_RANGE="192.168.66.0/24"
MAC1="00-0c-76-d8-58-cd" #winc4
MAC2="00-0C-c6-0f-C9-F1" #winc1
INET_IFACE="eth0"
INET_IP="xxx.xxx.xxx.xxx"
IP_INET="192.168.66.10"
ETH1_IP="192.168.66.200"

$IPT -F
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT

$IPT -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

$IPT -A FORWARD -m mac --mac-source $MAC1 -p tcp --dport 80 -j ACCEPT
#$IPT -A FORWARD -m mac --mac-source $MAC2 -p tcp --dport 80 -j ACCEPT
$IPT -A FORWARD -m mac --mac-source $MAC1 -p tcp --dport 443 -j ACCEPT
#$IPT -A FORWARD -m mac --mac-source $MAC2 -p tcp --dport 443 -j ACCEPT

$IPT -A FORWARD -s $IP_INET -p tcp --dport 80 -j ACCEPT
$IPT -A FORWARD -s $IP_INET -p tcp --dport 443 -j ACCEPT

$IPT -A FORWARD -s ! $IP_INET -p tcp --dport 80 -j REJECT
$IPT -A FORWARD -s ! $IP_INET -p tcp --dport 443 -j REJECT

$IPT -A FORWARD -p tcp -s $IP_RANGE --dport 25 -i eth1 -j ACCEPT
$IPT -A FORWARD -p tcp -s $IP_RANGE --dport 110 -i eth1 -j ACCEPT
$IPT -A FORWARD -p tcp -s $IP_RANGE --dport 143 -i eth1 -j ACCEPT

####该两句一开会屏蔽一切,所以一直没开,原因待查####
#$IPT -A FORWARD -s $IP_RANGE -p tcp --dport 80 -j REJECT
#$IPT -A FORWARD -s $IP_RANGE -p tcp --dport 443 -j REJECT
$IPT -A OUTPUT -d $IP_RANGE -j DROP

$IPT -A FORWARD -p tcp --dport 1863 -j REJECT
$IPT -A FORWARD -d 64.4.13.0/24 -j REJECT #?????

$IPT -A FORWARD -p tcp -s 0/0 --sport ftp-data -d $IP_RANGE -i ppp+ -j ACCEPT

$IPT -A FORWARD -p udp -d $IP_RANGE -i ppp+ -j ACCEPT

$IPT -A FORWARD -p tcp -d $IP_RANGE ! --syn -i ppp+ -j ACCEPT

$IPT -A FORWARD -s $IP_RANGE -i eth1 -j ACCEPT

$IPT -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

$IPT -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

$IPT -A INPUT -p icmp --icmp-type 8 -i ppp+ -j REJECT
$IPT -A INPUT -p icmp --icmp-type 13 -i ppp+ -j REJECT
$IPT -A INPUT -p icmp --icmp-type 17 -i ppp+ -j REJECT
$IPT -A INPUT -p icmp --icmp-type 5 -i ppp+ -j REJECT
$IPT -A INPUT -p icmp --icmp-type 6 -i ppp+ -j REJECT
$IPT -A INPUT -p icmp --icmp-type 9 -i ppp+ -j REJECT

########以下部分为当时新加的,最后全部删除系统也不能恢复############

#disable 31337 31335 27444 27665 20034 NetBus 9704 137-139(smb) output ports
$IPT -A OUTPUT -o ppp+ -p tcp --dport 31337 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --sport 31337 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --dport 31335 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --sport 31335 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --dport 27444 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --sport 27444 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --dport 27665 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --sport 27665 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --dport 20034 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --sport 20034 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --dport 9704 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --sport 9704 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --dport 137 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --sport 137 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --dport 138 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --sport 138 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --dport 139 -j DROP
$IPT -A OUTPUT -o ppp+ -p tcp --sport 139 -j DROP


$IPT -A INPUT -s 255.255.255.255 -j DROP
$IPT -A INPUT -d 0.0.0.0 -j DROP
$IPT -A OUTPUT -s 255.255.255.255 -j DROP
$IPT -A OUTPUT -d 0.0.0.0 -j DROP

$IPT -A INPUT -s 10.0.0.0/8 -i ppp0 -j DROP
$IPT -A OUTPUT -s 10.0.0.0/8 -j DROP
$IPT -A INPUT -s 172.16.0.0/12 -i ppp0 -j DROP
$IPT -A OUTPUT -s 172.16.0.0/12 -j DROP
$IPT -A INPUT -s 192.168.0.0/16 -i ppp0 -j DROP
$IPT -A OUTPUT -s 192.168.0.0/16 -j DROP

$IPT -t nat -A PREROUTING -i ppp0 -s 192.168.0.0/16 -j DROP
$IPT -t nat -A PREROUTING -i ppp0 -s 10.0.0.0/8 -j DROP
$IPT -t nat -A PREROUTING -i ppp0 -s 172.16.0.0/12 -j DROP

####待具体核对###
#$IPT -A INPUT -i eth0 -o lo -j DROP #???????
#$IPT -A OUTPUT -i eth0 -o lo -j DROP

#open host's SSH port 22,please client to internet with SSH
#$IPT -A OUTPUT -o ppp0 -p tcp -s $ETH1_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT
#$IPT -A INPUT -i ppp0 -p tcp ! --syn -s any/0 --sport 22 -d $ETH1_IP --dport 1024:65535 -j ACCEPT

#only intranet with SSH
#$IPT -A INPUT -s $IP_RANGE -p tcp --destination-port ssh -j ACCEPT

##############新加规则截止到此###############

$IPT -A INPUT -i ppp+ -s $IP_RANGE -j DROP




$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
for DNS in $(grep ^n /etc/resolv.conf|awk '{print $2}') ; do
$IPT -A INPUT -p udp -s $DNS --sport domain -j ACCEPT
done

#$IPT -N LOGDENY
#$IPT -A LOGDENY -j LOG --log-prefix "iptables:"
#$IPT -A LOGDENY -j DROP
#$IPT -A INPUT -i ! lo -m state --state NEW,INVALID -j LOGDENY

if [ "$INET_IFACE"=ppp0 ] ; then
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
else
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP
fi

$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP


具体配置如上,这东西一开就死,一关就活,找了两天也搞不懂什么原因,也不知是不是别的地方的问题,不过现在故障现象好像和此联系很紧密???

多加一行試試:
$IPT -I INPUT -i lo -j ACCEPT

老大,你太英明,伟大了,我好崇拜你噢.加上这一句立马就好,当时没加的时候,开启自定义脚本启动XW,最后返回错误是找不到UNIX/:7100,现在只加一句,一切OK.
能具体说说是什么原因造成的吗,这句为什么与XW有关,影响XW?

机器自己既做SERVER又做CLIENT，所以是通过lo传输数据包的
你的防火墙禁止了lo的动作

最好是使用ssh tunnel，这样更安全一些，也不需要打开7100端口，一个ssh端口就行了

[quote]原帖由 "yunqing"]最好是使用ssh tunnel，这样更安全一些，也不需要打开7100端口，一个ssh端口就行了[/quote 发表：


朋友,能不能说的详细一点,我对此不懂