[问题求助]关于iptables的问题 [复制链接]

我想限制内网机器访问.外网的ftp主机    外汇
iptables -t nat -A P.REROUT.ING -s x.x.x.x -d 0/0 -p tcp --dport 21 -j ACCEPT投资
iptables -t nat .-A PREROU.TING -d 0/0 -p tcp --dport 21 -j DROP    外汇
就可以了
我的问题是为什么不能用filter表的OUTPUT链.，就好像下面.           建材
iptables -A OU.TPUT. -p tcp -s x.x.x.x -d 0/0 --dport 21 -j ACCEPT学习
iptables -A OU.TPUT -p tcp --dport 21 -.j DROP.
为什么这样不行

ding,为什么OUTPUT链就不可以啊

OUTPUT链是对本机出去的包进行处理，你下面的两条规则我不大明白：
iptables -A OUTPUT -p tcp -s x.x.x.x -d 0/0 --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j DROP

难道你的网关有多个外网地址，你限定其中的一个地址可以使用ftp，其他的地址不能使用ftp？这样做没有什么意义吧。
如果你要限制内网的机器访问外网的ftp主机，你在PREROUTING链加的规则已经可以了，当然也可以在FORWARD链加规则达到同样的效果。

你应该把规则写道forward链里面

ok我已经明白了，理解上有点失误
我觉得PREROUTING 的确不是很合理
那么合理的写法应该是怎样的