作者 主題: iptables problem  (閱讀 1367 次)

0 會員 與 1 訪客 正在閱讀本文。

decade_joe

  • 懷疑的國中生
  • **
  • 文章數: 66
    • 檢視個人資料
iptables problem
« 於: 2003-01-25 21:12 »
請問在iptables中,不加LanCard,會有問題嗎?
例如:
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -A INPUT -d 205.252.144.77 -p tcp --dport 23 -j DROP
iptables -t nat -A PREROUTING -d 205.252.144.77 --dport 80 -j DNAT --to 192.168.0.1:80

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17472
    • 檢視個人資料
    • http://www.study-area.org
iptables problem
« 回覆 #1 於: 2003-01-26 00:21 »
能再說詳細點嗎?

decade_joe

  • 懷疑的國中生
  • **
  • 文章數: 66
    • 檢視個人資料
我的設定
« 回覆 #2 於: 2003-01-26 10:34 »
Netman大人,本人是說你教的設定是有Apdater
例如:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -i ppp0 -d 205.252.144.77 -p tcp --dport 80 -j DNAT --to 192.168.0.1:80
iptables -A INPUT -i ppp0 -d 205.252.144.77 -p tcp --dport 23 -j DROP
iptables -A INPUT -i eth1 -d 205.252.144.77 -p tcp --dport 23 -j DROP

但我不設Apdater也是有同一樣效果,為甚麼?
但本人看過有一Web Site 說Lookback Apdater 一定要Accept,是嗎?
如果不設Apdater 是不是會令Lookback Apdater也一齊Accpept, DROP, REJECT, SNAT, DNAT 了,這樣會有問題嗎?

令外有二問題

一. NAT OUTPUT 有何用?請舉例
二.iptables -A INPUT -i eth0 -j DROP是不是連tcp-flags 也Drop,而不需Set以下設定嗎?


# NMAP FIN/URG/PSH
  iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

  # Xmas Tree
  iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP

  # Another Xmas Tree
  iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

  # Null Scan(possibly)
  iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP

  # SYN/RST
  iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

  # SYN/FIN -- Scan(possibly)
  iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

我的設定如下:
請指教

#!/bin/bash

#Date : 23/1/2003
#By : Joe Yu

# ------------- INFORMATION -------------
PATH="/sbin:/usr/sbin:/bin:/usr/bin"
HOSTNAME="205.252.144.77"
FIREWALL="192.168.0.1"
APSERVER_1="192.168.0.2"
FIREWALL_TCP="20 21 22 23 25 53 80 110 113 119 143 220 443 465 993 995"
FIREWALL_UDP="53"
FIREWALL_ICMP="0 3 3/4 4 11 12 14 16 18"
APSERVER_1_TCP="137 138 139 3389"

# ------------- MODULES -------------
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc

# ------------- FLUSHING -------------
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat

# ------------- POLICIES -------------
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

# ------------- INPUT -------------

# ------------- TCP -------------
for PORT in $FIREWALL_TCP; do
    iptables -A INPUT -d $HOSTNAME -p tcp --dport $PORT -j ACCEPT
done

# ------------- UDP -------------
for PORT in $FIREWALL_UDP; do
    iptables -A INPUT -d $HOSTNAME -p udp --dport $PORT -j ACCEPT
done

# ------------- ICMP -------------
for TYPE in $FIREWALL_ICMP; do
    iptables -A INPUT -d $HOSTNAME -p icmp --icmp-type $TYPE -j ACCEPT
done

# ------------- STATE -------------
iptables -A INPUT -d $HOSTNAME -m state --state ESTABLISHED,RELATED -j ACCEPT

# ------------- BLOCK -------------
iptables -A INPUT -d $HOSTNAME -j DROP

# ------------- PREROUTING -------------

# ------------- TCP -------------
for PORT in $APSERVER_1_TCP; do
iptables -t nat -A PREROUTING -d $HOSTNAME -p tcp --dport $PORT -j DNAT --to $APSERVER_1
done

# ------------- POSTROUTING -------------

# ------------- MASQ -------------
iptables -t nat -A POSTROUTING -j MASQUERADE

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17472
    • 檢視個人資料
    • http://www.study-area.org
iptables problem
« 回覆 #3 於: 2003-01-27 13:43 »
1) 別說 adapter ,請說具體的,如 ppp0, eth0, eth1 ....
2) OUPUT 只檢查 source address 是本機的。
3) 規則越模糊,影響的封包越多。規則訂得越明確,符合的封包越少。
-A INPUT -j DROP : 所有 input 都 drop 。
-A INPUT -i eth0 -j DROP :只有從 eth1  進來的才 DROP 。
-A INPUT -i eth0 -p tcp -j DROP:只有從 eth1  進來的 tcp 封包才 DROP 。
-A INPUT -i eth0 -p tcp --dport 80 -j DROP:只有從 eth1  進來的 tcp 封包且送給 port 80 的才 DROP 。

看來,你看文章很粗心,沒有仔細消化理解喔:
http://www.study-area.org/linux/servers/linux_nat.htm