[问题求助]四个Iptables疑问，再增加一个问题 [复制链接]

一、请问下面这句话有没有错：

    “如果信息包源自系统本机或所连接的内部网上的其它源，并且此信息包要前往另一个外部系统，那信.息包被传到OU.TPUT链。”           建材

二、如何限制MSN发送文件？

     疑问：在网上查到资料MSN发送文件用的端口是：6891－.6900，我试了一下只开放443端和1863端可以登录.，.但也可以发送文件，不知道还需要哪些设置？写法如下：    美容

    #$IPTABLES -A FORWARD -s 19.2.168.0.149 -p TCP -m multiport --dport 443,18.63. -o eth0 -j ACCEPT           鲜花
   #$IPTABLES -A FORWARD -s 192.168.0.149 -p UD.P -m multiport --dport 443,1863. -o eth.0 -j ACCEPT.
    #$IP.TABLES -A FORWARD -s 192.168.0..149 -o eth0 -j DROP(广告)

三、当指定多端口时为什.么不能用“!”？如上电脑



四、再帮忙看.一下下面这断脚本有没.有问题（注：是网上摘抄）：.

  1：首先把.QQ各服务器的IP.地址列出来，顺便也把你要禁止的其他IP地址也列出来吧，一会就用到了。<性病>
2：建立一个黑名单，例如
  . #vi /etc/blacklist              汽车
   把1：中列出.的要禁止去往的IP地址全写到这里电影
3：.建立一个子链，名字叫BLACKLIS.T，注意，链名要大写。(广告)
#iptab.les -t filter -N BL.ACKLIST虚拟主机
4:下面我.们要用SHELL写个脚本，这个脚本用来把黑名单里的受禁.IP加到子链的拒绝规则里.
#.vi /us.r/local/sbin/bl_vef--------------彩票
我随手写了个，尽供参考.，脚本如下：              乙肝
  
  #!/bin/sh
while true ;do
  .      iptabl.es -t filter -F BLACKLIST<性病>
                for ip in `cat /etc/bl.ackl.ist` ;do学习
                        iptables -t filter -A BLACKL.IST -S ${i.p} -j drop.
                .done             电子
        sleep. 60健康
        done

疑问1：Ip.tables好像没有“－S”这个参数？           女人

疑.问2：如果这个脚本没问题，那么源IP有没有用？域名

五、.更改Iptables规则时经常要重启Iptables.，这样会不会造成数据的中中断？重启时间大约10秒左右[成人用品]

[. 本帖最后由 llylin .于 2006-8-24 12:53 编辑 ]健康

QUOTE:或所连接的内部网上的其它源
这个没看懂



QUOTE:并且此信息包要前往另一个外部系统，那信息包被传到OUTPUT链。
单凭这一句就知道不对了，因为 dest 是 localhost 的话，output device 是 lo 的话，也会走 OUTPUT 链的



QUOTE:如何限制MSN发送文件？

     疑问：在网上查到资料MSN发送文件用的端口是：6891－6900，我试了一下只开放443端和1863端可以登录，但也可以发送文件，不知道还需要哪些设置？写法如下：

    #$IPTABLES -A FORWARD -s 192.168.0.149 -p TCP -m multiport --dport 443,1863 -o eth0 -j ACCEPT
   #$IPTABLES -A FORWARD -s 192.168.0.149 -p UDP -m multiport --dport 443,1863 -o eth0 -j ACCEPT
    #$IPTABLES -A FORWARD -s 192.168.0.149 -o eth0 -j DROP

MSN 还会寻找其他方法的



QUOTE:三、当指定多端口时为什么不能用“!”？如上
你想如何用？可否举例说明？



QUOTE:疑问1：Iptables好像没有“－S”这个参数？
iptables 的确没有“－S”这个参数，但却有“-s”这个参数
你的脚本里写成了大写 S，你提问的时候不仅写成了大写 S，前面的减号 - 也写成了全角 －



QUOTE:疑问2：如果这个脚本没问题，那么源IP有没有用？

当然有用，数据传输是双向的，请参考置顶的 iptables FAQ

谢谢！
第一个问题是一本书上写的，我就感觉好像有问题，所以发问。
第二个问题如果有个知道解决方法请回贴，谢谢！
第三个问题就是反向选择，比如说我想用一句话写完：除了端口25和110，其它全部关闭。
第四个问题网上抄来的，看不大懂。就是想解决封QQ IP的办法，他这里用的建一个文件传门用来保存QQ IP，然后Iptables每隔60秒就读取那个文件文件一次，只要是列在里面的IP就拒绝掉，我不知道他这里写的对不对？