作者 主題: iptables 的問題請教  (閱讀 1790 次)

0 會員 與 1 訪客 正在閱讀本文。

usnei

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
    • http://www.usnei.net
iptables 的問題請教
« 於: 2006-01-19 12:47 »
linux:/home/usnei # cat /root/iptables_rule
#!/bin/bash
#default iptables rule
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P INPUT DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p TCP -i eth0 --dport 25 -j ACCEPT
iptables -A INPUT -p TCP -i eth0 --dport 110 -j ACCEPT
iptables -A INPUT -p TCP -i eth0 --dport 80 -j ACCEPT
iptables -A INPUT -s 61.30.185.228/32 -p TCP -i eth0 --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p TCP -i eth0 --dport 22 -j ACCEPT
#iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

想請教一下各位兩個問題

如上我並沒有下記錄log的參數
那麼是否這樣在/var/log內就找不到iptables 相關login logout or refaused 的記錄呢? ..(我自己找是沒有找到..)
 :cry:
第二個問題是
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

這行若是在第一行
且我開啟了samba 服務
就等於我不需再新增rule 去accept 137~139 445 port 嗎?
我試了之後
卻是時通時不通
現在samba service 得把iptables -F -X 才能在lan端運行正常
實在有點困惑
麻煩指點一下小弟,thanks ^^

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
iptables 的問題請教
« 回覆 #1 於: 2006-01-19 14:25 »
1) 沒看到你有設 LOG 的規則啊. 有的話, 參考 syslog 的 kernel 纇別.(不懂 syslog?)
2) 那行不影響別人連進來的 service , 若你的機器是 server, 那還是要開規則的. 為啥時通時不通? 那就不清楚了...

djs1101

  • 可愛的小學生
  • *
  • 文章數: 23
    • 檢視個人資料
Re: iptables 的問題請教
« 回覆 #2 於: 2006-01-22 02:17 »
代碼: [選擇]
第二個問題是
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

這行若是在第一行

且我?#125;啟了samba 服務
就等於我不需再新增rule 去accept 137~139 445 port 嗎?
我試了之後
卻是時通時不通
?#123;在samba service 得把iptables -F -X 才能在lan端運行正常


以上這行規則
代碼: [選擇]
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
是允許已經建立連線的封包能進入本機。

所以對於新連線的封包,則要另外設立規則建立。例如
代碼: [選擇]
iptables -A INPUT -s 192.168.1.0/24 -p TCP -i eth0 --dport 137:139 -m --state NEW -j ACCEPT

usnei

  • 憂鬱的高中生
  • ***
  • 文章數: 128
    • 檢視個人資料
    • http://www.usnei.net
iptables 的問題請教
« 回覆 #3 於: 2006-02-09 15:26 »
謝謝撥空回覆
網中人兄
這麼說來
在/etc/syslog.conf 內無定義iptables 的話(先不論等級)
基本上iptables的活動是由iptables 指令去記錄才會產生動作嘍
預設是沒有在syslog.conf內看到有關iptables的字眼
謝謝
djs1101兄
看了這行我瞭了,感謝