[问题求助]iptables的FORWARD默认为DROP后，加入ACCEPT规则后也不能包转发？ [复制链接]

RH9，aptibles 1.3.0,开启了包转发功能，在FORWARD链默认为ACCEPT时，可以通过路由，但是我把链.改为默认是DROP时，再.添加ACCEPT的规则，.却不能进行路由。              乙肝
是不是.当链规则默认是DROP时，.它就不再匹配规则了？

数据包是有去有回的
能不能转发，要看你是如何在 -P DROP 的情况下 -j ACCEPT 的了

谢谢你，帮我看下规则：
iptables -F
iptables -P FORWARD DROP
iptables -I FORWARD -p tcp -m connlimit --connlimit-above 10 -j DROP
iptables -I FORWARD -p udp -m connlimit --connlimit-above 2 -j DROP
iptables -I FORWARD -s 192.168.10.0/24 -j ACCEPT
就这样的，但是不能路由了，而当改成iptables -P FORWARD ACCEPT时就能路由

所以原本楼主可能是这样写的:

iptables -P FORWARD DROP

iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
复制代码

因为 TCP/IP 是双向的，所以这样就是回应时被阻挡。所以要考虑:

iptables -P FORWARD DROP

iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
复制代码

另外也许在 ftp 环境可能要搭配 ip_conntrack_ftp 挂入，可能会是:

iptables -P FORWARD DROP

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
复制代码

这些提供参考。

==

QUOTE:原帖由 cexoyq 于 2006-3-26 09:36 发表
谢谢你，帮我看下规则：
iptables -F
iptables -P FORWARD DROP
iptables -I FORWARD -p tcp -m connlimit --connlimit-above 10 -j DROP
iptables -I FORWARD -p udp -m connlimit --connlimit-above 2 -j D ...

还有一个问题
connlimit 只支持 tcp 协议


QUOTE:connlimit v1.3.5 options:
[!] --connlimit-above n         match if the number of existing tcp connections is (not) above n
--connlimit-mask n             group hosts using mask