论坛风格切换切换到宽版
发帖 回复
返回列表
  • 824阅读
  • 9回复

[问题求助]大家帮忙看看我的iptables配置,谢谢!!!! [复制链接]

 上一主题 下一主题
离线yahaba88.
初中三年级
 
发帖
2115
C币
-235507
威望
411
贡献值
1
银元
-2
铜钱
4751
人人网人气币
0
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-01
大家帮忙.看看我的iptables配置,目前无法实现限.制B网段只能收发邮件的功能:           鲜花

请高手指.点一下!!!!!谢谢!!学习

环境:
.     1、外.网接口 eth0:192.168.2.8  连接Internet网;             汽车

    .     2、内网接口 eth1:19.2.168.5.254  连接内部局域网,即内网的网关;           建材

目的:

      1、内网的IP.段分为:A:.192.168.5.1-192.168.5.100(广告)
                                      B:192.16.8.5.101-19.2.168.200             汽车
         2、要求A网段没有限制.,可以访问网页,下载 ,.qq,msn,收发邮件 ;(已经实现)服务器

      3.、要求B网段只能收发邮件,用.outlook收发即可。电脑

我的脚本:

#!/bin/bash
#.加载iptable_nat模块电脑
mod.probe iptable_nat--------------彩票
#打开内核IP转发
ech.o "1">/proc/sys/net/ipv4/ip_forw.ard学习
#清除filter表规则
i.ptables  -t filter -.F INPUT电影
i.ptable.s  -t filter -F OUTPUT.
ip.tables  -t filter .-F FORWARD              乙肝
iptables  -t. filter -X电影
#清除Nat表规则
ip.tables -t .nat -F PREROUTING             电子
iptables -t nat -F .OUTPUT虚拟主机
ipta.bles. -t nat -F POSTROUTING    外汇
iptable.s -t nat -X.
#清除mangle表规则
ipt.ables -t mangle -.F PREROUTING电脑
ipt.ables -t mang.le -F  OUTPUT              乙肝
iptables .-t mangle -X.
#
########.##INPUT############.#######学习
iptables. -P INPUT DROP <性病>
iptables -A. INPUT -.i ! eth0 -j ACCEPT .
iptables -A INPUT -m .s.tate --state ESTABLISHED,RELATED -j ACCEPT 电脑
#############.#####################.#.
iptabl.es -P FORWARD. ACCEPT --------------彩票
i.ptables -P OUTPUT ACCEPT投资

#指定IP地址上网
iptables -A FORWARD -m iprange --src-range 192.168.5.1-192..168.5.10.0 -.j ACCEPT              乙肝

iptables -A FORWARD -m ipran.ge --.src-.range 192.168.5.1-192.168.5.253 -j DROP           建材

###############.#######static IP, use SNAT ###.#########################           建材
iptables -t nat -A POSTROUTING -o. eth0 -j SNAT --to 192.16.8.2.8 .
iptable.s -t nat -A PREROUTING -i eht1 -p tcp -s 192.168.5.0/24 --dp.ort 80 -j REDIRECT --t.o-ports 8080 .
#智能DNS服务
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 53 -j DNA.T. --to-destination 219.142.41.58:5.3          婚庆
iptab.les -t nat. -A PREROUTING -i eth1 -p udp --dport 53 -j DN.AT --to-destination 219.142.41.58:53.
评价一下你浏览此帖子的感受

精彩
感动
搞笑
开心
愤怒
无聊
灌水
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线wx8052.
初中二年级
发帖
1934
C币
-235534
威望
393
贡献值
1
银元
-1
铜钱
4518
人人网人气币
0
只看该作者 沙发  发表于: 2010-04-13
B:192.168.5.101-192.168.200

只开这个段的25和110端口。
回复
举报
离线wjx79979.
初中三年级
发帖
2074
C币
-193461
威望
338
贡献值
1
银元
-7
铜钱
4611
人人网人气币
0
只看该作者 板凳  发表于: 2010-04-13
我是新手,能给我具体命令吗?
在哪个表中的哪个链中加啊??
谢谢!!!
回复
举报
离线brokenfly.
初中二年级
发帖
1941
C币
-152808
威望
364
贡献值
1
银元
-2
铜钱
4383
人人网人气币
0
只看该作者 地板  发表于: 2010-04-13
A:192.168.5.1-192.168.5.100
B:192.168.5.101-192.168.200

要限制B段的只能收发邮件,不容易实现吧?
如果你再加块网卡。
eth0,外网网卡;
eth1,内网A段网关;比如,192.168.5.0/24
eth2,内网B段网关。比如,192.168.6.0/24
这样限制的话,相对就很容易了。
回复
举报
离线szboy.
初中三年级
发帖
2033
C币
-140722
威望
373
贡献值
1
银元
-1
铜钱
4432
人人网人气币
0
只看该作者 4楼 发表于: 2010-04-13
非常感谢,可是这个网络比较混杂的!
最好是按照ip地址实现!!
回复
举报
离线哥们练过.
初中三年级
发帖
2016
C币
-235786
威望
365
贡献值
1
银元
-2
铜钱
4486
人人网人气币
0
只看该作者 5楼 发表于: 2010-04-13
#清除filter表规则
iptables  -t filter -F INPUT
iptables  -t filter -F OUTPUT
iptables  -t filter -F FORWARD
iptables  -t filter -X
#清除Nat表规则
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -t nat -F POSTROUTING
iptables -t nat -X
#清除mangle表规则
iptables -t mangle -F PREROUTING
iptables -t mangle -F  OUTPUT
iptables -t mangle -X

===========================
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
iptables -Z    就可以实现你上面那么多东西了。
回复
举报
离线gfmv.
初中三年级
发帖
2076
C币
-60690
威望
375
贡献值
1
银元
-1
铜钱
4711
人人网人气币
0
只看该作者 6楼 发表于: 2010-04-13
答复好像不全哦     !
回复
举报
离线long0.
初中三年级
发帖
2156
C币
-198461
威望
384
贡献值
1
银元
0
铜钱
4821
人人网人气币
0
只看该作者 7楼 发表于: 2010-04-13


QUOTE:原帖由 marsaber 于 2007-7-3 18:54 发表于 6楼  
ptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
iptables -Z    就可以实现你上面那么多东西了。

都已经 -F 和 -X 了,还用得着 -Z 吗?
回复
举报
离线zhurry.
初中三年级
发帖
2077
C币
-521811
威望
325
贡献值
2
银元
-5
铜钱
4492
人人网人气币
0
只看该作者 8楼 发表于: 2010-04-13
#! /bin/bash

service iptables stop

modprobe ip_nat_ftp

echo "1">/proc/sys/net/ipv4/ip_forward



# Static NAT

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.2.8



# 让特定网段直接逃离 PREROUTING 链,我做转向处理

iptables -t nat -A PREROUTING -i eth1 -m iprange --src-range 192.168.5.101-192.168.200 -p tcp --dport 80 -j ACCEPT



# squid,这里也是引起问题的主要原因

iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.5.0/24 --dport 80 -j REDIRECT --to-ports 8080



# DNS,其中 tcp 的可以删除,因为除了高级 DNS 应用外 DNS 走 UDP 协议

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 53 -j DNAT --to-destination 219.142.41.58:53

iptables -t nat -A PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to-destination 219.142.41.58:53



# 限制出去的

iptables -A FORWARD -m iprange --src-range 192.168.5.101-192.168.200 -p tcp -m multiport --dports 25,110 -j ACCEPT

iptables -A FORWARD -m iprange --src-range 192.168.5.101-192.168.200 -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -m iprange --src-range 192.168.5.101-192.168.200 -j DROP



# 阻止进来的新包

iptables -A FORWARD -m iprange --dst-range 192.168.5.101-192.168.200 -m state --state NEW -j DROP
复制代码
回复
举报
离线wdyzl1.
初中三年级
发帖
1973
C币
-60986
威望
347
贡献值
1
银元
-2
铜钱
4370
人人网人气币
0
只看该作者 9楼 发表于: 2010-04-13
# 让特定网段直接逃离 PREROUTING 链,我做转向处理
iptables -t nat -A PREROUTING -i eth1 -m iprange --src-range 192.168.5.101-192.168.200 -p tcp --dport 80 -j ACCEPT


是什么意思 ?
回复
举报
发帖 回复
返回列表
快速回复
限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
上一个 下一个