[CentOS] 设置iptables -P FORWARD DROP后，FTP不能联入。|Linux系统专区人人网,QQ空间,登陆,renren,注册,校内,刷人气

离线zybt.

初中三年级

发帖: 2081

C币: -235379

威望: 364

贡献值: 1

银元: -2

铜钱: 4606

人人网人气币: 0

只看楼主倒序阅读使用道具楼主发表于: 2009-05-01

我把 iptables -P FORWARD 设置成DROP之后，外面的.人就连接不到我们的FTP服务器了。。。..
原来FORWARD我设置的是AC.CEPT。杀毒

我看置顶了。。

评价一下你浏览此帖子的感受

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

离线qwer20.

初中三年级

发帖: 2210

C币: -60177

威望: 375

贡献值: 1

银元: -3

铜钱: 4907

人人网人气币: 0

只看该作者沙发发表于: 2010-04-13

Re:[CentOS]

贴 iptables-save 的结果

离线sinxyz.

初中三年级

发帖: 2007

C币: -60545

威望: 390

贡献值: 1

银元: 0

铜钱: 4476

人人网人气币: 0

只看该作者板凳发表于: 2010-04-13

没那个命令

-bash: iptable: command not found

离线kawayiyi.

初中三年级

发帖: 2126

C币: -60558

威望: 397

贡献值: 1

银元: -2

铜钱: 4789

人人网人气币: 0

只看该作者地板发表于: 2010-04-13

Re:[CentOS]

QUOTE:原帖由 hc_ttcm 于 2008-5-16 13:30 发表

没那个命令

-bash: iptable: command not found

如果你连这个问题都解决不了，没人能帮你了

离线aeleven.

初中三年级

发帖: 2203

C币: -262342

威望: 435

贡献值: 1

银元: -1

铜钱: 5068

人人网人气币: 0

只看该作者 4楼发表于: 2010-04-13

Re:[CentOS]

三楼的，命令是iptables，而不是iptable.

估计楼主是将ftp服务器放在内网，通过做端口映射来实现的吧，如果是这样就一定要allow你的那个FORWARD规格。

离线运动男孩.

初中三年级

发帖: 2111

C币: -60243

威望: 399

贡献值: 1

银元: -2

铜钱: 4866

人人网人气币: 0

只看该作者 5楼发表于: 2010-04-13

LZ，你真的理解DROP是啥意思了吗

离线taimushan.

初中三年级

发帖: 2270

C币: -60211

威望: 434

贡献值: 1

银元: -3

铜钱: 5074

人人网人气币: 0

只看该作者 6楼发表于: 2010-04-13

Re:[CentOS]

QUOTE:原帖由 sanyork 于 2008-5-17 18:23 发表

三楼的，命令是iptables，而不是iptable.

估计楼主是将ftp服务器放在内网，通过做端口映射来实现的吧，如果是这样就一定要allow你的那个FORWARD规格。

我写的命令也不是 iptables，而是 iptables-save
-save 不是参数，而是命令名的一部分

离线凌波个微步.

初中三年级

发帖: 2119

C币: -235314

威望: 380

贡献值: 1

银元: -4

铜钱: 4762

人人网人气币: 0

只看该作者 7楼发表于: 2010-04-13

Re:[CentOS]

外网eth0 IP 1.1.1.1
内网eth1 IP 10.1.0.0/16
# Generated by iptables-save v1.2.11 on Tue May 20 19:34:23 2008
*filter
:INPUT ACCEPT [6:402]
:FORWARD DROP [1:48]
:OUTPUT ACCEPT [10:896]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 1.1.1.1 -p tcp -m tcp --dport 22 -j DROP
-A FORWARD -s 10.1.1.216 -j ACCEPT
-A FORWARD -p tcp -m iprange --src-range 10.1.0.210-10.1.0.228 -m tcp --dport 80 -j DROP
-A FORWARD -d 208.111.148.137 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m iprange --src-range 10.1.0.141-10.1.0.253 -j ACCEPT
-A FORWARD -m iprange --src-range 10.1.4.250-10.1.4.254 -j ACCEPT
-A FORWARD -s 10.1.0.1 -j ACCEPT
-A FORWARD -m iprange --src-range 10.1.2.1-10.1.2.60 -j ACCEPT
-A FORWARD -s 10.1.0.0/255.255.0.0 -p icmp -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.0.101-10.1.0.111 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.0.101-10.1.0.111 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.101-10.1.0.111 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.101-10.1.0.111 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.0.119-10.1.0.125 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.0.119-10.1.0.125 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.119-10.1.0.125 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.0.127-10.1.0.135 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.0.127-10.1.0.135 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.127-10.1.0.135 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.127-10.1.0.135 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.43-10.1.0.95 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.43-10.1.0.95 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.0.43-10.1.0.95 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.0.43-10.1.0.95 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.135-10.1.0.141 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.0.135-10.1.0.141 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.0.135-10.1.0.141 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.135-10.1.0.141 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.210-10.1.0.228 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.0.210-10.1.0.228 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.0.210-10.1.0.228 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.210-10.1.0.228 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.1.219-10.1.1.223 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.1.219-10.1.1.223 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.1.219-10.1.1.223 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.1.219-10.1.1.223 -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.1.0.233 -d 159.182.52.140 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.1.0.233 -d 159.182.52.140 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 10.1.0.233 -d 122.216.201.17 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.1.0.233 -d 122.216.201.17 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -m iprange --src-range 10.1.1.200-10.1.1.209 -j ACCEPT
COMMIT
# Completed on Tue May 20 19:34:23 2008
# Generated by iptables-save v1.2.11 on Tue May 20 19:34:23 2008
*mangle
REROUTING ACCEPT [62740816:35224348798]

:INPUT ACCEPT [346206:35482187]
:FORWARD ACCEPT [62391288:35188549588]
:OUTPUT ACCEPT [195069:21414957]
OSTROUTING ACCEPT [62529929:35206311895]

COMMIT
# Completed on Tue May 20 19:34:23 2008
# Generated by iptables-save v1.2.11 on Tue May 20 19:34:23 2008
*nat
REROUTING ACCEPT [9:552]

OSTROUTING ACCEPT [1:48]

:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 10.1.0.251
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20 -j DNAT --to-destination 10.1.0.251
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.1.0.250
-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 10.1.0.250
-A PREROUTING -i eth0 -p udp -m udp --dport 53 -j DNAT --to-destination 10.1.0.251
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.1.0.251
-A POSTROUTING -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT
# Completed on Tue May 20 19:34:23 2008

[ 本帖最后由 hc_ttcm 于 2008-5-20 19:01 编辑 ]

离线dgd78.

初中三年级

发帖: 2038

C币: -60438

威望: 375

贡献值: 1

银元: -1

铜钱: 4738

人人网人气币: 0

只看该作者 8楼发表于: 2010-04-13

Re:[CentOS]

我昨天试验过了，可以访问我的FTP服务器。
他们骗我说访问不了

我发现了个问题

-A FORWARD -p tcp -m iprange --src-range 10.1.0.210-10.1.0.228 -m tcp --dport 80 -j DROP这条命令不加的话，这个网段的都可以访问外网。
其他的网段没有这种命令都不能访问，就这个网段要，不知道为什么。

离线xdlyly.

初中三年级

发帖: 2058

C币: -139587

威望: 385

贡献值: 1

银元: 0

铜钱: 4510

人人网人气币: 0

只看该作者 9楼发表于: 2010-04-13

Re:[CentOS]

我知道了

-A FORWARD -m iprange --src-range 10.1.0.141-10.1.0.253 -j ACCEPT是这句做的乱。。。


	http://www.csuboy.com 访问内容超出本站范围，不能确定是否安全


	关闭您还没有登录，快捷通道只有在登录后才能使用。立即登录还没有帐号？赶紧注册一个


	关闭选中1篇全选

帖子

[问题求助][CentOS] 设置iptables -P FORWARD DROP后，FTP不能联入。 [复制链接]