作者 主題: iptables 的疑問  (閱讀 2198 次)

0 會員 與 1 訪客 正在閱讀本文。

路人甲

  • 可愛的小學生
  • *
  • 文章數: 27
    • 檢視個人資料
iptables 的疑問
« 於: 2003-12-19 18:26 »
Dear All~

研讀了第七章﹕架設 NAT
有些不了解的地方,望各位學長們解疑

先祝大家
          聖誕快樂 Merry Christmas :D

   

# ------------- flushing ----------
echo "Cleaning up..."
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat

1. 如上iptables的tables不是有三個嗎
   那需要清 mangle嗎?
    iptables -F -t mangle
    iptables -X -t mangle
    iptables -Z -t mangle
======================================================
iptables -I INPUT -i ppp0 -p TCP --syn -j DROP
iptables -I FORWARD -i ppp0 -p TCP ! --syn -j ACCEPT

2. 在上述規則,可以改成這樣嗎?
    iptables -I INPUT -i ppp0 -p TCP --syn -j DROP
    iptables -I FORWARD -i ppp0 -p TCP --syn -j DROP
   或者可以改成一條嗎?
    ipiptables -I PREROUTING -i ppp0 -p TCP --syn -j DROP
    反正我NAT SERVER和內部的PC都拒絕 外來主動連線
======================================================
3. 另外 iptables是由上而下比對條件,符合了就不再比對下面的規則
   所以在增加 規則時都幾乎是用 -A,那下兩條可以改成 -A嗎?
   我對 -I用法 還不了解,哪時需要他勒?
iptables -I INPUT -i ppp0 -p TCP --syn -j DROP
iptables -I FORWARD -i ppp0 -p TCP ! --syn -j ACCEPT

IceCream

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
    • http://www.taiwanes.com
Re: iptables 的疑問
« 回覆 #1 於: 2003-12-19 23:03 »
引述: "路人甲"

略...............

iptables -I INPUT -i ppp0 -p TCP --syn -j DROP
iptables -I FORWARD -i ppp0 -p TCP ! --syn -j ACCEPT

2. 在上述規則,可以改成這樣嗎?
    iptables -I INPUT -i ppp0 -p TCP --syn -j DROP
    iptables -I FORWARD -i ppp0 -p TCP --syn -j DROP
   或者可以改成一條嗎?
    ipiptables -I PREROUTING -i ppp0 -p TCP --syn -j DROP
    反正我NAT SERVER和內部的PC都拒絕 外來主動連線
======================================================
3. 另外 iptables是由上而下比對條件,符合了就不再比對下面的規則
   所以在增加 規則時都幾乎是用 -A,那下兩條可以改成 -A嗎?
   我對 -I用法 還不了解,哪時需要他勒?
iptables -I INPUT -i ppp0 -p TCP --syn -j DROP
iptables -I FORWARD -i ppp0 -p TCP ! --syn -j ACCEPT

如果你已經有規則寫好了, 想要插入新的規則優先比對就可以用 -I 啊
像我在組 script 都是用 -A, 因為順序我都已經排好. 如果是要測試什麼新的東西 (像開個 ftp 來玩玩) , 在不變更原來規則的情況下, 我會先用 -I 把 accept port 21 這個rule 丟到最上面去優先處理, 等到穩定後再加到開機 script 裡面

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17423
    • 檢視個人資料
    • http://www.study-area.org
iptables 的疑問
« 回覆 #2 於: 2003-12-20 03:26 »
1) mangle 可不清,但清了較保險。
2) 視其後是否還有 ACCEPT 規則而定。
我在 iptables 已經不用 --syn 標簽了,而是用 -m state --state NEW 來判別。通常我會將 ESTABLISHED 給 ACCEPT 。
3) 對,規則順序很重要﹗

路人甲

  • 可愛的小學生
  • *
  • 文章數: 27
    • 檢視個人資料
iptables 的疑問
« 回覆 #3 於: 2003-12-20 18:22 »
感謝各位學長們
謝謝你們的解疑.

路人甲

  • 可愛的小學生
  • *
  • 文章數: 27
    • 檢視個人資料
iptables 的疑問
« 回覆 #4 於: 2003-12-21 17:05 »
引用
2. 在上述規則,可以改成這樣嗎?
iptables -I INPUT -i ppp0 -p TCP --syn -j DROP
iptables -I FORWARD -i ppp0 -p TCP --syn -j DROP
或者可以改成一條嗎?
iptables -I PREROUTING -i ppp0 -p TCP --syn -j DROP
反正我NAT SERVER和內部的PC都拒絕 外來主動連線連線

 :wink: 後來發覺,上述iptables -I PREROUTING -i ppp0 -p TCP --syn -j DROP 是錯的
因為filter TABLES 沒有包含 "PREROUTING"這個chains !!!

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17423
    • 檢視個人資料
    • http://www.study-area.org
iptables 的疑問
« 回覆 #5 於: 2003-12-22 01:10 »
加個 -t nat 即可。