[问题求助]这个规则错在哪？(问题已解决） [复制链接]

eth0=fix internet IP.虚拟主机
eth1=LAN IP
eth2=ppp0(拔号)
ppp0=adsl

高级路由我不会用，用了几次都.出现问题，所以.还是手工切换吧    健康

在根目下建了几个脚本，如果用.ADSL就用ADSL的脚本，用固定IP就用另一个脚本（全手工的.，呵呵）            杀毒

内网用.sq.uid代理上网，我的目的很简单，上网全部用代理，其它用我允许的端口才可以对外联系，以下脚本到底错在哪呢？--- 印刷

正确的脚本：

#! /bin/sh

ec.ho "1" .> /proc/sys/net/ipv4/ip_forward虚拟主机

/sbin/mod.probe ip_tables.
/sbi.n/modprobe ip._conntrack.
/sbin/modprobe iptable_filt..er.
/sbin/m.odprobe i.ptable_mangle    美容
/.sbin/modprobe iptable_nat..
/sbin/modp.robe ipt_LOG           女人
/sbi.n/modprobe ipt_limit<性病>
/sbin/modprob.e ipt_state            杀毒
/sbin/mod.probe ip_conntrack._ftp域名
/sbi.n/modprobe ip_nat_ftp.

iptables -F
iptables -t nat. -F外贸
iptables .-t mangle -F.
iptables -X
ipt.ables -t nat -X健康
ipta.bles -t mangle -X(        游戏          )

iptables -P INPUT. DROP域名
iptables -P FORW.ARD DROP[成人用品]
iptables -P OUTP.UT ACCEPT电脑

iptables -t nat -A POSTROUTING -s 192.168.1.0/2.4 -o ppp0 -j MASQU.ERADE--- 印刷

iptables -..A INPUT -i lo -j ACCEPT             电子
iptables -A .INPUT -p tcp -i eth1 -m multiport --dports 22,312.8 -j ACCEPT健康
iptables -A INPUT -.m state --.state RELATED,ESTABLISHED -j ACCEPT    美容
iptables -A FORWARD -m state --sta.te RELATE.D,ESTABLISHED -j ACCEPT           建材
ip.tables -A FORWARD -s 192.1.68.1.0/24 -p tcp -m multiport --dports. 21,22,25,53,110,4899 -j ACCEPT             电子
ip.tables -A FORWARD -s 192.168.1.0/24 -p udp -m mul.tiport .--dports 53,69 -j ACCEPT--------------彩票
iptables. -t nat -A PREROUTING -i ppp0 -p tcp --dport .80 -j .DNAT --to 192.168.1.253          婚庆
ip.tables -t nat -A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp --.dpo.rt 80 -j REDIRECT --to 3128.

[ 本帖最后由 .chris_wan 于 2006-5-10 .13:57 编辑 ]电影

少了一句
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

因为默认改成了 DROP，所以也要像 INPUT 那样针对其他 state 处理一下

btw: 其他规则写的很严谨，不错！

一点改进意见：


QUOTE:iptables -A FORWARD -p tcp --dport 53 -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4899 -s 192.168.1.0/24 -j ACCEPT

其实也可以像 INPUT 允许 22 和 3128 那样，使用 multiport 模块
改为
iptables -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dports 22,25,53,110,4899 -j ACCEPT

老大就是老大，让人偑服啊，呵呵


谢谢！

顺便把正确的贴上！

我在forward中加了1863,80，还有7001，MSN还是登陆不了，有没有碰到过这问题的朋友？

MSN 需要 TCP/1863 和 TCP/443

原来还需要443，汗....



谢谢老大，呵呵!

老大，请教一下，用了上面的规则后，内网用户无法上FTP，如何解决？

# modprobe ip_nat_ftp

QUOTE:原帖由 platinum 于 2006-4-26 15:47 发表
# modprobe ip_nat_ftp



注释掉这一行？


# /sbin/modprobe ip_nat_ftp


可还是上不了，郁闷中....

不，是在 root 权限下执行 modprobe ip_nat_ftp
# modprobe ip_nat_ftp

你内网用户不能访问外网的 FTP，是因为你没允许他访问
iptables -A FORWARD -s 192.168.1.0/24 -p tcp -m multiport --dports 22,25,53,110,4899 -j ACCEPT
我想你应该不会不明白上面那句话的意思吧？