[问题求助][求助]以下iptables规则有错误吗？合理吗？ [复制链接]

以下ipta.bles规则有错误吗？合理吗？健康


QUOTE:iptables -.A IN.PUT DROP<性病>
iptables -A OUTPUT DRO.P             汽车
iptables -A. FORWARD DROP--- 印刷
iptables –A. INPUT –p tcp –m multiport --dpor.t 80,21,25,110 –j ACCEPT虚拟主机
打开W.WW,FTP,SMTP,POP3服务健康
iptables –A OUTPUT –p tcp –m mult.iport --sport 80,21,25,110–j ACC.EPT--------------彩票
i.ptables –A OUTPUT –p tcp –m state --state ESTABLISHED –j .ACCEPT          婚庆
iptables –A INPUT –p. udp –m multip.ort --dport 25 –j ACCEPT             电子
打开SMTP
iptables –A OUTPUT –p udp –m mult.iport --sport 25 –j .ACCEPT[成人用品]
i.ptables –A OUTPUT –p udp –m state --tate ESTABLISHED –.j ACCEPT(广告)
ip.tables –A I.NPUT –i lo –j ACCEPT域名
iptables –A OUTPUT –o lo –.j. ACCEPT.
如果是被动FTP则
iptabl.es –A INPUT –p tcp –dpor.t 1024: -j ACCEPT              乙肝
iptables –A OUTPUT –p tcp. --sport 1024: –m state --state ESTABL.ISHEED -j. ACCEPT.
同时添加.跟踪模块 modprobe ipt_conntrack_ft.p modprobe ipt_nat_ftp.
内网转发
iptables -A FOR.W.ARD -d 192.168.5.0/24 -j ACCEPT虚拟主机
iptables -A. FORWARD -o eth0(192.168.0.100) -.j ACCEPT.
iptables –t nat –A POSTROUTING –s 192.1.68.5.0/24. –j SNAT --to –source 192.168.0.1.00投资
同时打开echo “1” >. /proc/sys/net/ipv4./ip_forward

iptables -A INPUT DROP
iptables -A OUTPUT DROP
iptables -A FORWARD DROP
晕。这三句放在开始，以后的规则就不用看了。

QUOTE:原帖由 cexoyq 于 2006-8-22 01:14 发表
iptables -A INPUT DROP
iptables -A OUTPUT DROP
iptables -A FORWARD DROP
晕。这三句放在开始，以后的规则就不用看了。

我却认为这样说不无道理
规则是顺序匹配的，而 DROP 却放在了首位
若有，且仅有这些规则的话，那这样设置是不合理的
好比“不让所有人进门”、“进门的需要遵守规章制度”
都不可能有人进来，又哪有人去遵守呢？
若是 -P 是可以的，但这里是 -A

建议楼主还是贴全规则，上面那些内容或许是整个规则中的某些片断

[ 本帖最后由 platinum 于 2006-8-22 07:25 编辑 ]

QUOTE:原帖由 platinum 于 2006-8-22 07:16 发表
我却认为这样说不无道理
规则是顺序匹配的，而 DROP 却放在了首位
若有，且仅有这些规则的话，那这样设置是不合理的
好比“不让所有人进门”、“进门的需要遵守规章制度”
都不可能有人进来，又哪有人去遵守 ...


不过这样说感觉好像有点难了解...

-P INPUT DROP 这类设定, 不管放前面还是最后面都没有关系的... 但是要考虑到 tcp/ip 的双向协议的架构就可以了...

所以楼上的 cexoyq 说法是有大问题的...

==

QUOTE:原帖由 kenduest 于 2006-8-22 12:27 发表


不过这样说感觉好像有点难了解...

-P INPUT DROP 这类设定, 不管放前面还是最后面都没有关系的... 但是要考虑到 tcp/ip 的双向协议的架构就可以了...

所以楼上的 cexoyq 说法是有大问题的...

==

不过楼主的不是 -P 而是 -A 哦，所以只看前几条就应该知道错了，因此我赞同 cexoyq 的说法 ^_^

QUOTE:原帖由 platinum 于 2006-8-22 12:42 发表
不过楼主的不是 -P 而是 -A 哦，所以只看前几条就应该知道错了，因此我赞同 cexoyq 的说法 ^_^


原来是我看错了 :p

糟糕, 耍白了..

==

[ 本帖最后由 kenduest 于 2006-8-22 13:09 编辑 ]

FTP Passive Mode:
iptables -A INPUT  -p tcp ! --syn -m mutilport --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 21 -j ACCEPT
iptables -A INPUT  -p tcp -m --state ESTABLISHED, RELATED -j ACCEPT

Better?

QUOTE:原帖由 baif 于 2006-8-22 13:26 发表
FTP Passive Mode:
iptables -A INPUT  -p tcp ! --syn -m mutilport --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 21 -j ACCEPT
iptables -A INPUT  -p tcp -m --state ESTABLISHED, RELATED -j ACCEPT

Better?

你没有理解 FTP 被动模式
被动不是客户被动，而是 server 被动，是 server 有另外的 data port 需要被额外连接
从你的规则看 OUTPUT 那行压根就是多余的，因为我把 OUTPUT 的 default policy 设置成 ACCEPT 不比你这样好吗？
但是对额外的 data port 的连接呢？通过 state 的 RELATED 来判断吗？应该是的，但你要加在 ip_conntrack_ftp 模块才可以

QUOTE:原帖由 kenduest 于 2006-8-22 13:30 发表


這個使用方式是不建議的方式, 除非還是使用 ipchains 這年代的 firewall tools

推薦還是好好使用 ip_conntrack_ftp, 並且搭配 -m state --state RELATED -j ACCEPT

==

不是不建议，是压根就不对，楼主的做法是 Active Mode

QUOTE:原帖由 platinum 于 2006-8-22 19:40 发表

你没有理解 FTP 被动模式
被动不是客户被动，而是 server 被动，是 server 有另外的 data port 需要被额外连接
从你的规则看 OUTPUT 那行压根就是多余的，因为我把 OUTPUT 的 default policy 设置成 ACCEPT 不 ...


嗯。如果是NAT的话，需要的模块应该是 ip_nat_ftp.
谢谢。