[问题求助][CentOS] 防火墙规则问题，解决这个问题的兄弟，我再额外赠送100分 [复制链接]

eth.0 172.19.3.2   {外网}学习
eth1. 192.168.1.1      (内网.).
系统:centos5.2

问题所在：在eth.0. 接口上开启了HTTP服务，现在不管怎么弄，与eth0接口在同一网段的客户无法访问，如果关闭防火墙则可以    美容
麻烦兄弟们帮帮忙


我的防火墙角本:
#!/bin/bash
/sb.in/iptables -F<性病>
/sbin/iptables -t .nat -F.
/.sbin/iptables. -t filter -F--- 印刷
/sbin/iptables .-X           建材
/s.bin/iptables -Z           鲜花

/s.bin/iptables -A INPUT -i lo -j AC.CEPT服务器
/sbin/iptable.s -A OUTPUT -o lo -j ACC.EPT            杀毒

/sbin/i.pt.ables -A INPUT -i eth1 -j ACCEPT.
/sbin/iptables .-A OU.TPUT -o eth1 -j ACCEPT    美容
##open web p.orts            杀毒
/sbin/i.ptables -A INPUT -i eth0 -p tcp --dport 80 -j A.CCEPT[成人用品]

##open .sshd ports             汽车
/sbin/iptables -A INPUT -i eth0 .-p tcp -m tcp --dport 22 -j A.CCEPT虚拟主机

#.#proxy and nat             电子
/sbin/iptables -t nat -A POSTR.OUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-so.u.rce 172.19.3.2            杀毒
/sbi.n/iptables -t nat -A PREROUTING -p tc.p -m tcp --dport 80 -j REDIRECT --to-por.ts 3128--------------彩票
##allow st.ate pack          婚庆
/sbin/iptables -A INPUT -m state --state. ESTABLISHED,REL.ATED -j ACCEPT服务器
/sbin/ipta.bles -A INP.UT -j DROP<性病>


[root@www rc.d]# ipt.ables -L.(        游戏          )
Chain INPUT (polic.y AC.CEPT)电影
target     prot opt so.urce               d.estination             外汇
ACCE.PT     tcp  --  anywhere             anywhere .           tcp dpt:http [成人用品]
ACCEPT     all  --  any.where     .        anywhere                         汽车
ACCEPT     all  --  anywhere      .       anywhere   .         (广告)
ACCEPT     tcp  --  any.wher.e             anywhere            tcp dpt:ssh 域名
AC.CEPT     all  --  anywhere   .          .anywhere            state RELATED,ESTABLISHED 虚拟主机
DROP       all  --  anywhere             anyw.here      .                 建材

Chain FORW.ARD (polic.y ACCEPT).
target     prot opt source        .   .    destination                     杀毒

Chain OUTPUT .(polic.y ACCEPT)域名
target     prot o.pt so.urce               destination         .
ACCEPT.     all.  --  anywhere             anywhere            .
ACCEPT     all  --  anywhere            . an.ywhere       .


老鸟请赐教如何写开放WE.B端口，应该是.
/sbi.n/iptables -A INPUT -i eth0 -s 0/0 -p tcp --dpo.rt 80 -j ACCEPT.
规则为filter表的input链 ,条件为从eth0接口进入，来源地址..任意，目的端口为80 ，符合这一规则的放行.

刚才打电话给R.EDHAT,是800的电话..
他们说iptables -A INPUT -p tcp --.dpor.t 80 -j ACCEPT电脑
这条规则只是让80端口的数据包进来了,得将数据包返.回客户.,说要再添加一条            杀毒
iptab.les -A OUTPUT -p tcp --sport 80 -j .ACCEPT教育
可还是不行


如果你开放80端口.的iptable.s规则可以用,贴出来只要可以用就可以了!           女人

已解决
/.sbin/iptables -A INPUT -i eth0 -p tcp -s 0./0 --sport 1024:6553.5 -d 218.84.9.241 --dport 80 -j ACCEPT教育
/sbin/iptables -A OUTPUT -o eth.0 -p tcp --tcp-f.lags SYN.,RST,ACK SYN -s 218.84.9.241 --spo.rt 80 -d 0/0 --dport 1024:65535 -j ACCEPT--- 印刷

[ 本帖最后由 364.5636 于 2008-12-9. 13:08 编辑 ]    健康

我来回答

NAT实现上网是通过FORWARD规则进行控制的，你的配置过程中没有使用到相应的规则，请检测

Chain FORWARD (policy ACCEPT)
他默认的是ACCEPT的啊

QUOTE:原帖由 3645636 于 2008-12-8 13:44 发表
eth0 172.19.3.2   {外网}
eth1 192.168.1.1      (内网)

问题所在：在eth0 接口上开启了HTTP服务，现在不管怎么弄，与eth0接口在同一网段的客户无法访问，如果关闭防火墙则可以
麻烦兄弟们帮帮忙


我 ...


看起来80端口是没有问题的。

建议你先检查一下80端口的服务确认监听的网卡是eth0 172.19.3.2

netstat -alnt|grep 80
把结果贴出来
确认无误后，可以在倒数第二行添加一行

/sbin/iptables -A INPUT -j LOG
/sbin/iptables -A INPUT -j DROP

然后看看日志为什么被封，然后解决掉

刚才打电话给REDHAT,是800的电话.
他们说iptables -A INPUT -p tcp --dport 80 -j ACCEPT
这条规则只是让80端口的数据包进来了,得将数据包返回客户,说要再添加一条
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

/sbin/iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
这条透明代理规则感觉有点异常
访问你172.19.3.2 80数据全被你squid了
检查下squid配置

才看你还有个最后一条/sbin/iptables -A INPUT -j DROP
先把这条去掉了，再测试下，很可能是这条规则捣鬼。

[ 本帖最后由 剑次狼 于 2008-12-8 23:24 编辑 ]

/sbin/iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

/sbin/iptables -A INPUT -j DROP

兄弟，你这两条看起来感觉都有问题啊。
把这两条注释掉，试一下

我认为防火墙的规则配置检测应该一步步来定位有问题的规则，如果正常的比较严格的策略配置应该是：
# iptables -P INPUT DROP
# iptables -P OUTOUT DROP
# iptables -P FORWARD DROP
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
即可。所以REDHAT告诉你的应该是没有问题的；但是感觉现在你的规则排序比较乱，INPUT的最后一条DROP的规则嫌疑最大。

QUOTE:原帖由 3645636 于 2008-12-8 16:52 发表
刚才打电话给REDHAT,是800的电话.
他们说iptables -A INPUT -p tcp --dport 80 -j ACCEPT
这条规则只是让80端口的数据包进来了,得将数据包返回客户,说要再添加一条
iptables -A OUTPUT -p tcp --sport 80 -j ...


这个是对的，必须双向做nat，否则不通

回 1 樓...

多這行如何？

iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
复制代码