[问题求助]iptables DROP INPUT和NEW包后HTTP映射端口为何还能连 [复制链接]

内网 eth0
外网 eth1 eth2
iptables -P INPU.T DROP域名

iptables -P OUTPUT. ACCEPT              乙肝

iptables .-P FORWARD ACCEP.T学习

iptables .-A .INPUT -i lo -j ACCEPT.

iptables -A INPUT -i eth0 .-j. ACCEPT电影

iptables .-A INPUT -p tcp. --dport 22 -m state --state NEW -j ACCEPT(        游戏          )

iptables -A. INPUT -m state --state E.STABLISHED,RELATED -j ACCEPT外贸

iptables -t nat -I PREROUTING -p tc.p -d 219.1.3.17.70 --dport 8880 -j DN.AT --to 192.168.1.194:8080    健康

iptables -t nat -I PREROUTING -p tcp -d 219.13.17.70 --dport .8888 -j DNAT --t.o 192..168.1.194:80.

iptables -t nat -A POSTROUTING .-o et.h2 -j MASQUERADE              乙肝

iptables -t .nat -A. POSTROUTING -o eth0 -j MASQUERADE电影
复制代码

在外部SSH能连，没有疑问
映射的HTTP端口没有开放NEW状态包进.入，http怎么还可以连呢？难道说HTTP端口在--.state是默认是允许的？可8888 和 8880 都不是标准HTTP端口，还是HTTP本身就是对外的.，它的NEW.包属于自身程序启动就已经发出等待外部来ESTABLISHED包连接？虚拟主机
哪位老大帮我解释一下

[ 本帖最后由 bleach 于 2006-2-.22 .22:33 编辑 ].

顶一个

还有事情问 我在网关山如何查看内部都发出了哪些连接？
比如内部机器中毒啦 向外发起连接 如何判别是病毒？
内部都是 win$ 系统

[ 本帖最后由 bleach 于 2006-2-22 22:40 编辑 ]

记住一点：规则描述的越清楚，限制也就越多，匹配范围越窄

对于第二个问题，可能你是想看 /proc/net/ip_conntrack 的内容吧？

先看一下這個圖，你會瞭解 PREROUTING chain 走過後才會到 INPUT chain。

所以你有在 PREROUTING chain 設定 port 80 DNAT 給內部機器的話，rule 與 INPUT chain 就沒關係了。

可以的話看這個圖:



出處:


==

QUOTE:原帖由 platinum 于 2006-2-22 23:08 发表
记住一点：规则描述的越清楚，限制也就越多，匹配范围越窄

对于第二个问题，可能你是想看 /proc/net/ip_conntrack 的内容吧？


下面是我 ip_conntrack 部分
tcp      6 30 TIME_WAIT src=192.168.1.50 dst=218.17.246.163 sport=3778 dport=443 src=218.17.246.163 dst=219.13.15.17 sport=443 dport=3778 [ASSURED] use=1 l7proto=unknown
复制代码
可以解释一下这条的意思吗？
我iptables是这样限制的
iptables -A FORWARD -m layer7 --l7proto qq  -m time --timestart 8:30 --timestop 12:00 --days Mon,Tue,Wed,Thu,Fri -m iprange --src-range 192.168.1.10-192.168.1.254 -j DROP
复制代码
l7proto=unknown 又是什么意思呢？

linux 网关只能是屏蔽病毒的常用端口的措施来防毒吗？

[ 本帖最后由 bleach 于 2006-2-23 11:07 编辑 ]