作者 主題: 如何設定 iptables ?  (閱讀 2512 次)

0 會員 與 1 訪客 正在閱讀本文。

linuxcoke

  • 懷疑的國中生
  • **
  • 文章數: 34
    • 檢視個人資料
如何設定 iptables ?
« 於: 2003-12-29 15:47 »
加入此句:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MAQUERADE
clients can connect to internet.

But append below statement:
iptables -t nat -P POSTROUTING DROP

clients can't connect to internet and there is no respon to DNS client.

Please tell me why?

Regards

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
如何設定 iptables ?
« 回覆 #1 於: 2003-12-29 16:06 »
引用
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MAQUERADE

加  -o eth1 讓封包知道從那個地方出去。
引用
iptables -t nat -P POSTROUTING DROP

POSTROUTING 的封包全丟掉? why?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17466
    • 檢視個人資料
    • http://www.study-area.org
如何設定 iptables ?
« 回覆 #2 於: 2003-12-29 16:08 »
you should apply filtering rules wihtin the -t filter table, which contains INPUT and FORWARD chains you may concern.
leave the policy of -t nat table as they were...

linuxcoke

  • 懷疑的國中生
  • **
  • 文章數: 34
    • 檢視個人資料
如何設定 iptables ?
« 回覆 #3 於: 2003-12-30 12:10 »
引述: "jou"
引用
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MAQUERADE

加  -o eth1 讓封包知道從那個地方出去。
引用
iptables -t nat -P POSTROUTING DROP

POSTROUTING 的封包全丟掉? why?


nat table 不是先run iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MAQUERADE, 後run iptables -t nat -P POSTROUTING DROP, 所以第一句通過了,第二句應該就不受影響, 對嗎?

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
如何設定 iptables ?
« 回覆 #4 於: 2003-12-30 13:16 »
我認為 POSTROUTING(or PREROUTING)有路由宣告的意思在,要不我有另一條規則如
-A POSTROUTING -s 10.1.1.1/24 -o eth1 -j MASQUERADE 也要進行偽裝,
那第一條執行完,這一條是否也要執行?而且您的第二條規則似乎會把第一條蓋掉?( 重新宣告?)

client 端要經過 NAT 上網,INPUT 與 FORWARD 也是有很重要的關係的。

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17466
    • 檢視個人資料
    • http://www.study-area.org
如何設定 iptables ?
« 回覆 #5 於: 2003-12-30 15:52 »
引述: "linuxcoke"
nat table 不是先run iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MAQUERADE, 後run iptables -t nat -P POSTROUTING DROP, 所以第一句通過了,第二句應該就不受影響, 對嗎?

POSTROUTING 不光要讓 -s 192.168.1.0/24 的 packet 要過,
其它呢?
你不一一設,那都會被 DROP 。

iptables 之所以要分 filter, nat, mangle 這三個 table ,
其目的有去思考過嗎?