作者 主題: [問題]請問有關ping 的問題  (閱讀 1603 次)

0 會員 與 1 訪客 正在閱讀本文。

santiago

  • 可愛的小學生
  • *
  • 文章數: 23
    • 檢視個人資料
[問題]請問有關ping 的問題
« 於: 2003-09-07 00:20 »
請教各位大大一個ping的問題
小弟有一台linux Firewall機器,上面有三張網卡
eth0接ADSL  eth1接DMZ IP網段是192.168.2.0/24
eth2接Internal IP網段是192.168.3.0/24
若我使用的預設規則是DROP
那我在DMZ和Internal各放一台PC
請問是用FORWARD來使Internal可ping到DMZ區的機器嗎

       請各位大大指導指導  謝謝

santiago

  • 可愛的小學生
  • *
  • 文章數: 23
    • 檢視個人資料
[分享]終於試出來了,但是........
« 回覆 #1 於: 2003-09-07 18:47 »
各位大大我終於試出來了,以下是我的NAT主機:


iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i eth2 -p tcp --sport 1024:65535 -d 192.168.3.254 --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth2 -p tcp ! --syn -s 192.168.3.254 --sport 22 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state NEW,ESTABLISHED -i eth2 -o eth1 -s 192.168.3.0/24 --sport 1024:65535 --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state ESTABLISHED -i eth1 -o eth2 --sport 22 -d 192.168.3.0/24 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p udp -m state --state NEW,ESTABLISHED -i eth2 -o ppp0 -s 192.168.3.0/24 --sport 1024:65535 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -m state --state ESTABLISHED -i ppp0 -o eth2 --sport 53 -d 192.168.3.0/24 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state NEW,ESTABLISHED -i eth2 -o ppp0 -s 192.168.3.0/24 --sport 1024:65535 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state ESTABLISHED -i ppp0 -o eth2 --sport 53 -d 192.168.3.0/24 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state NEW,ESTABLISHED -i eth2 -o ppp0 -s 192.168.3.0/24 --sport 1024:65535 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state ESTABLISHED -i ppp0 -o eth2 --sport 80 -d 192.168.3.0/24 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state NEW,ESTABLISHED -i eth2 -o ppp0 -s 192.168.3.0/24 --sport 1024:65535 --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state ESTABLISHED -i ppp0 -o eth2 --sport 443 -d 192.168.3.0/24 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state NEW,ESTABLISHED -i eth2 -o ppp0 -s 192.168.3.0/24 --sport 1024:65535 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state ESTABLISHED -i ppp0 -o eth2 --sport 21 -d 192.168.3.0/24 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth2 -p tcp --sport 20 -d 192.168.3.0/24 --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o ppp0 -p tcp -s 192.168.3.0/24 --sport 1024:65535 --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth2 -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -o eth2 -p icmp --icmp-type 0 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -p icmp --icmp-type 8 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -p icmp --icmp-type 0 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -p icmp --icmp-type 8 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -p icmp --icmp-type 0 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 8 -i eth2 -o ppp0 -s 192.168.3.0/24 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 0 -i ppp0 -o eth2 -d 192.168.3.0/24 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 8 -i eth1 -o ppp0 -s 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type 0 -i ppp0 -o eth1 -d 192.168.2.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.3.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.2.0/24 -j MASQUERADE
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
adsl-start


目前我內部的PC可上網也可作DNS查詢
內部PC可ping到DMZ區的SERVER也可ping到Internet
但是我內部對Internet的ftp連線無法成功
我上面的設定也有開20 port,但為何我的內部PC的cuteFTP還是顯示無法連線
請各位大大指導指導  小弟將感激不盡  謝謝

IceCream

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
    • http://www.taiwanes.com

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[問題]請問有關ping 的問題
« 回覆 #3 於: 2003-09-07 20:58 »
一般而言,NEW 與 ESTABLISHED 這兩個 state 不會放在同一行吧?