[问题求助]DROP 和　ACCEPT应如何排序？ [复制链接]

这是我的iptables-save .的结果.
大家给看看！！！
[root@li.nux. root]# iptables-save    外汇
# Generate.d by iptables-save v1.3.1. on Fri Oct  6 11:57:26 2006.
*nat
REROUTING ACCEPT [95:10148]http://upload.bbs.csuboy.com/Mon_1004/126_6720_e3d115ab71927ac.gif[/img].
OSTROUTING ACCEPT [0:0]http://upload.bbs.csuboy.com/Mon_1004/126_6720_e3d115ab71927ac.gif[/img].
:OUTPUT ACC.EPT [0:0].
-A PREROUTING -s 192.168.0.3.3 -p tcp -m tcp .--dport 22 -j ACCEPT.
-A PREROU.TING -s 192.168.0.199 -p tc.p -m tcp --dport 22 -j ACCEPT             汽车
-A POSTROUTING -.s 192.16.8.0.0/255.255.255.0 -j MASQUERADE虚拟主机
COMMIT
# .Completed on Fri Oct  6 11:57:.26 2006           女人
# Generated by iptables-save v1.3.1 on Fri Oct  .6 11:57:26 .2006.
*filter
:.INPUT DROP [74:9552]           建材
:FORWARD. DROP [0:0]教育
:OUTPUT ACCEPT [2.3:2180]电脑
-A INPUT -s 192.168.0.33 -p tcp -m tcp --d.port 22. -j ACCEPT虚拟主机
-A INPUT -s 192.168.0.199 -p tcp -m t.cp. --dport 22 -j ACCEPT           建材
-A FORW.ARD -m layer7 --l7proto msnm.essenger -j DROP<性病>
-A FORWARD -m iprange --src-range 192.168.0.173-19.2.168.0.181 -j DR.OP          婚庆
-A FORWARD -m iprange --src-range .192.168.0.152-.192.168.0.156 -j DROP.
-A FORWARD -m iprange --src-range 192.168.0.132-192.168...0.138 -j DROP虚拟主机
-A FORWARD. -m iprange --src-range 192.168.0.77-.192.168.0.107 -j DROP(        游戏          )
-A FORWARD -m domain --name "msn..com" -j DRO.P(广告)
-A FO.RWARD -m domain -.-name "qq.com" -j DROP--------------彩票
-A FORWARD -m domain --.name "tencent.com." -j DROP<性病>
-A FORWARD -m domain --name "h.ao1.23.com" -j DROP教育
-A FORWARD -m .domain --name "si.na.com.cn" -j DROP
-A FORWARD -m .domain --name "sina..com" -j DROP           鲜花
-A FORWARD -m domain.. --name "163.com" -j DROP    外汇
-.A FORWARD -m ipp2p --kazaa --gnu .--edk --dc --b.it --apple --soul --winmx --ares -j DROP              乙肝
-A FORWARD -s. 192.168.0.33 -p udp -j AC.CEPT.
-A FORWARD -p udp -m multiport --.ports 53 -j ACCEP.T.
-A FORWARD -p tcp -m multiport --po.rts 8.0,53 -j ACCEPT    健康
-A FORWARD -s .192..168.0.33 -m layer7 --l7proto msnmessenger -j ACCEPT    健康
-A FORWARD -s 192.168..0.33 -m layer7 --l7proto .qq -j ACCEPT             汽车
COMMIT
# Completed on Fri Oct  6 11:57:.2.6 2006.

我的代码是这么写的
#!/bin/bash

echo "1" >/proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -Z



iptables -t nat -A PREROUTING -p tcp -s 192.168.0.33 --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.199 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.33 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.199 --dport 22 -j ACCEPT


iptables -I FORWARD  -p tcp -m multiport --port 80,53 -j ACCEPT
iptables -I FORWARD  -p udp -m multiport --port 53 -j ACCEPT
iptables -I FORWARD  -m ipp2p  --edk --bit --kazaa --soul --ares --apple --gnu --dc --winmx -j DROP
iptables -I FORWARD  -m domain --name "163.com" -j DROP
iptables -I FORWARD  -m domain --name "sina.com" -j DROP
iptables -I FORWARD  -m domain --name "sina.com.cn" -j DROP
iptables -I FORWARD  -m domain --name "hao123.com" -j DROP
iptables -I FORWARD  -m domain --name "tencent.com" -j DROP
iptables -I FORWARD  -m domain --name "qq.com" -j DROP
iptables -I FORWARD  -m domain --name "msn.com" -j DROP
iptables -I FORWARD  -m iprange --src-range 192.168.0.77-192.168.0.107 -j DROP
iptables -I FORWARD  -m iprange --src-range 192.168.0.132-192.168.0.138 -j DROP
iptables -I FORWARD  -m iprange --src-range 192.168.0.152-192.168.0.156 -j DROP
iptables -I FORWARD  -m iprange --src-range 192.168.0.173-192.168.0.181 -j DROP
iptables -I FORWARD  -m layer7 --l7proto qq -j DROP
iptables -I FORWARD  -m layer7 --l7proto qq -s 192.168.0.33 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

我想让192.168.0.33这个IP可以上QQ怎么不使呢？
大家给看看

要把ACCEPT放在EROP前面吧,估计还得将0.33的状态包也同时ACCEPT