如何利用iptables指定内网某些ip地址可以上网???|Linux系统专区人人网,QQ空间,登陆,renren,注册,校内,刷人气

离线goto8809.

初中三年级

发帖: 2096

C币: -152317

威望: 413

贡献值: 1

银元: -1

铜钱: 4602

人人网人气币: 0

只看楼主倒序阅读使用道具楼主发表于: 2009-05-01

环境：RH 9，
固定外网.ip地址1.2.3.4.
内网i.p：19.2.168.0.0/255.255.255.0.
iptables设置：
>;>;
echo 1 >; /proc/sys/net/ipv4/ip_.forwa.rd(广告)
modprob.e iptable_nat电影
modprobe. ip_conntrack健康
modprobe ip_conntrack._ftp 婚庆

iptables -.F INPUT投资
iptables -F FORWAR.D[成人用品]
i.ptables. -P FORWARD ACCEPT服务器
iptables -A POSTROUTING .-t nat -s 192.168.0.0/24 -o eth1 -j SNAT -.-.to-source 1.2.3.4.
>;>;End

通过iptables，内网计算机可以共享.上网<性病>

问题：如何设置ipt.ables，使得内网只能某几个计算机.上网？教育

评价一下你浏览此帖子的感受

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

离线月缺花残.

初中三年级

发帖: 2023

C币: -139429

威望: 378

贡献值: 1

银元: 0

铜钱: 4500

人人网人气币: 0

只看该作者沙发发表于: 2010-04-13

QUOTE:原帖由 "love4life" 发表：
环境：RH 9，
固定外网ip地址1.2.3.4
内网ip：192.168.0.0/255.255.255.0
iptables设置：
>;>;
echo 1 >; /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_co..........

iptables -I FORWARD -s 192.168.0.97 -j DROP
iptables -I FORWARD -s 192.168.0.97 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD -s 192.168.0.97 -m state --state RELATED,ESTABLISHED -j ACCEPT
看上面红色部分！这样192.168.0.97就只能看网页了！其它如此法泡制

离线蓝色海域.

初中三年级

发帖: 2065

C币: -235577

威望: 384

贡献值: 1

银元: -1

铜钱: 4528

人人网人气币: 0

只看该作者板凳发表于: 2010-04-13

iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 1.2.3.4

========>;

iptables -A POSTROUTING -t nat -s IP1 -o eth1 -j SNAT --to-source 1.2.3.4
iptables -A POSTROUTING -t nat -s IP2 -o eth1 -j SNAT --to-source 1.2.3.4
iptables -A POSTROUTING -t nat -s IP3 -o eth1 -j SNAT --to-source 1.2.3.4
.........
.........
iptables -A POSTROUTING -t nat -s IPn -o eth1 -j SNAT --to-source 1.2.3.4

离线彩网.

初中三年级

发帖: 2020

C币: -60724

威望: 384

贡献值: 1

银元: 0

铜钱: 4680

人人网人气币: 0

只看该作者地板发表于: 2010-04-13

QUOTE:原帖由 "platinum" 发表：
iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 1.2.3.4

========>;

iptables -A POSTROUTING -t nat -s IP1 -o eth1 -j SNAT --to-source 1.2.3.4
iptables -A POSTROUTI..........

请问，他上面已经通过了他内网的所有ip！！你为何还要单独开？？？？还有就是他的默认策略就是开的！你这样再开还有何意义？不过你这样的方法也是完全行的！嘻嘻！！

离线天使别哭.

初中三年级

发帖: 2001

C币: -235944

威望: 346

贡献值: 1

银元: -2

铜钱: 4319

人人网人气币: 0

只看该作者 4楼发表于: 2010-04-13

请注意我的“========>;”，是“转变为”的意思

QUOTE:iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 1.2.3.4

==转变为==>;

iptables -A POSTROUTING -t nat -s IP1 -o eth1 -j SNAT --to-source 1.2.3.4
iptables -A POSTROUTING -t nat -s IP2 -o eth1 -j SNAT --to-source 1.2.3.4
iptables -A POSTROUTING -t nat -s IP3 -o eth1 -j SNAT --to-source 1.2.3.4
.........
.........
iptables -A POSTROUTING -t nat -s IPn -o eth1 -j SNAT --to-source 1.2.3.4

这样是不是好理解了？

离线citurlong.

初中三年级

发帖: 2070

C币: -235437

威望: 395

贡献值: 1

银元: -3

铜钱: 4735

人人网人气币: 0

只看该作者 5楼发表于: 2010-04-13

QUOTE:iptables -I FORWARD -s 192.168.0.97 -m state --state RELATED,ESTABLISHED -j ACCEPT

这个有什么用?192.168.0.97不需要被外面访问啊?

离线丝路明珠.

初中三年级

发帖: 2041

C币: -198555

威望: 419

贡献值: 1

银元: -2

铜钱: 4716

人人网人气币: 0

只看该作者 6楼发表于: 2010-04-13

这个运用到了一个 iptables 中“状态检测”功能，与“需不需要被外面访问”无关

离线lsl3325009.

初中三年级

发帖: 2008

C币: -235911

威望: 401

贡献值: 1

银元: -2

铜钱: 4606

人人网人气币: 0

只看该作者 7楼发表于: 2010-04-13

但是这个状态ESTABLISHED,又是192.168.0.97发起的不是只有192.168.0.97被访问才会出现吗?难道跟路由器的ACLs不一样?

离线ebengbu.

初中三年级

发帖: 2059

C币: -60701

威望: 375

贡献值: 2

银元: -1

铜钱: 4670

人人网人气币: 0

只看该作者 8楼发表于: 2010-04-13

呵呵,不好意思,理解错了

离线xinjiao.

初中三年级

发帖: 2067

C币: -60723

威望: 386

贡献值: 1

银元: -2

铜钱: 4636

人人网人气币: 0

只看该作者 9楼发表于: 2010-04-13

[quote]原帖由 "bingosek"]但是这个状态ESTABLISHED,又是192.168.0.97发起的不是只有192.168.0.97被访问才会出现吗?难道跟路由器的ACLs不一样?[/quote 发表：

嗯，不太一样，这个可以基于包状态处理，可以实现单向控制
记得华为的交换机在 acl 里有个 established 参数（针对 tcp 协议的），其实是一个意思


	http://www.csuboy.com 访问内容超出本站范围，不能确定是否安全


	关闭您还没有登录，快捷通道只有在登录后才能使用。立即登录还没有帐号？赶紧注册一个


	关闭选中1篇全选

帖子

[问题求助]如何利用iptables指定内网某些ip地址可以上网??? [复制链接]