论坛风格切换切换到宽版
发帖 回复
返回列表
  • 781阅读
  • 9回复

[问题求助]iptables设置伪装后,FORWARD不起作用 [复制链接]

 上一主题 下一主题
离线郝晓琳.
初中三年级
 
发帖
1973
C币
-263017
威望
344
贡献值
1
银元
-4
铜钱
4457
人人网人气币
0
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-01
我.的LINUX上设置了透明代理和伪装,如下:    健康
iptables .-A PREROUTING -s 192.168.0.0/25.5.255.255.0 -p tcp -m tcp --dport 80 -j RED.IRECT --to-ports 3128              乙肝
iptables -A POSTROUT.ING -s 192.168.0.0/255.255.255..0 -j MASQUERADE           女人

之后再加入:
ipt.ables -P FORWARD DROP(        游戏          )
iptables -A FORWARD -s 192.16.8.0.100 -m state --state NEW,RELATED,EST.A.BLISHED -j ACCEPT             汽车
ip为1.92..168.0.100的PC就不能上网了。--------------彩票
如果把最后一条改成:
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -.j ACCE.PT              乙肝
就能上网了,不知道.为什么,加了伪装后,就不能.限制IP了吗?学习
评价一下你浏览此帖子的感受

精彩
感动
搞笑
开心
愤怒
无聊
灌水
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线dk97531.
初中三年级
发帖
2014
C币
2762
威望
379
贡献值
1
银元
-1
铜钱
4492
人人网人气币
0
只看该作者 沙发  发表于: 2010-04-13
是不是跟iptables规则添加顺序有关系阿
回复
举报
离线caicuc.
初中三年级
发帖
2046
C币
-152383
威望
390
贡献值
1
银元
-1
铜钱
4661
人人网人气币
0
只看该作者 板凳  发表于: 2010-04-13
顺序应该没有问题吧。找了半天还是不知道原因在哪里,望高手指点一下。
回复
举报
离线chinablue.
初中三年级
发帖
2151
C币
-235260
威望
390
贡献值
1
银元
-3
铜钱
4734
人人网人气币
0
只看该作者 地板  发表于: 2010-04-13


QUOTE:之后再加入:
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.0.100 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
ip为192.168.0.100的PC就不能上网了。
如果把最后一条改成:
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
就能上网了,不知道为什么,加了伪装后,就不能限制IP了吗?

逻辑问题
NEW + RELATED + ESTABLISHED ACCEPT = INVALID DROP(default ACCEPT)
你改最后一句,等同于把 -P FORWARD DROP 改成了 -P FORWARD ACCEPT

好好看看 state 的含义吧,你对其中的各个状态很含糊
回复
举报
离线啊锐.
初中三年级
发帖
1953
C币
-60757
威望
356
贡献值
1
银元
-2
铜钱
4337
人人网人气币
0
只看该作者 4楼 发表于: 2010-04-13


QUOTE:原帖由 platinum 于 2009-8-4 15:31 发表

逻辑问题
NEW + RELATED + ESTABLISHED ACCEPT = INVALID DROP(default ACCEPT)
你改最后一句,等同于把 -P FORWARD DROP 改成了 -P FORWARD ACCEPT

好好看看 state 的含义吧,你对其中的各个状态很含糊



谢谢你的回答,我知道最后一条改完后相当于全部ACCEPT了。但如果写成iptables -A FORWARD -s 192.168.0.100 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 。源是192.168.0.100的电脑就通不过防火墙,这又是为什么?!
回复
举报
离线冰冷的板凳.
初中三年级
发帖
2103
C币
-140609
威望
376
贡献值
1
银元
-2
铜钱
4536
人人网人气币
0
只看该作者 5楼 发表于: 2010-04-13


QUOTE:原帖由 coldcoffee 于 2009-8-4 17:39 发表



谢谢你的回答,我知道最后一条改完后相当于全部ACCEPT了。但如果写成iptables -A FORWARD -s 192.168.0.100 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 。源是192.168.0.100的电脑就通不过防火 ...

你只允许 192.168.0.100 的包出去,回来的呢?
或许你会说“我加了 ESTABLISHED 和 RELATED 啊”
但是你允许的方向恰好反了,你对 state 的状态不理解,导致 NEW 和 E/R 一起用,等同无效

iptables -A FORWARD -s 192.168.0.100 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
等同于
iptables -A FORWARD -s 192.168.0.100 -j ACCEPT

[ 本帖最后由 platinum 于 2009-8-4 17:47 编辑 ]
回复
举报
离线hxl7624.
初中三年级
发帖
2092
C币
-198849
威望
391
贡献值
1
银元
-2
铜钱
4657
人人网人气币
0
只看该作者 6楼 发表于: 2010-04-13


QUOTE:原帖由 platinum 于 2009-8-4 17:45 发表

你只允许 192.168.0.100 的包出去,回来的呢?
或许你会说“我加了 ESTABLISHED 和 RELATED 啊”
但是你允许的方向恰好反了,你对 state 的状态不理解,导致 NEW 和 E/R 一起用,等同无效

iptables -A F ...


不太明白,总之现在192.168.0.100是出不去,能告诉应该怎么定义,192.168.0.100就可以出去吗?
回复
举报
离线ft16.
初中三年级
发帖
2054
C币
-198567
威望
421
贡献值
2
银元
0
铜钱
4653
人人网人气币
0
只看该作者 7楼 发表于: 2010-04-13
他说你允许的方向反了,要允许ESTABLISHED 和 RELATED的包回来
应该是这个意思吧,不知道我理解错了没
回复
举报
离线03112.
初中三年级
发帖
2019
C币
-198744
威望
384
贡献值
1
银元
-1
铜钱
4562
人人网人气币
0
只看该作者 8楼 发表于: 2010-04-13
具体怎么做,还请指点一下,知道你很厉害,希望高手们不要摆架子。
回复
举报
离线海龟的.
初中三年级
发帖
2199
C币
-235349
威望
396
贡献值
6
银元
4
铜钱
4851
人人网人气币
0
只看该作者 9楼 发表于: 2010-04-13
iptables -P FORWARD ACCEPT
iptables -F
什么都不要阻拦,自然就能通了

如果要问为什么,自己去看文档吧
回复
举报
发帖 回复
返回列表
快速回复
限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
上一个 下一个