作者主題: 急問 IPTABLES SET法 (閱讀 4963 次)

小威 · « 於: 2002-03-15 00:35 »

各位:

我有一個firewall
只想比人出去睇Homepage,唔比只去其他PORT (etc. Telnet , FTP , ...........)
噤點SET呀???

Local Client >>>>>>>>>>>>> Firewall >>>>>>>>>>>>> Internet Homepage (OK)
Local Client >>>>>>>>>>>>> Firewall >>>>>>>>>>>>> Internet Telnet , FTP , ..
(Noway)

多謝各位

小威 · « **回覆 #1 於:** 2002-03-15 00:40 »

Sorry 個firewall 是 linux

Ken · « **回覆 #2 於:** 2002-03-15 08:57 »

#大概這樣,有錯的請指教
/sbin/modprobe ipt_multiport

#turn on ip forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

#IPtables Default Policy
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

#IP MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o $ext_eth -s $int_lan
-j SNAT --to $ext_ip

/sbin/iptables -A FORWARD -s $int_lan -p tcp -m multiport
--dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -s $int_lan -p udp -m multiport
--dport 53,80 -j ACCEPT
/sbin/iptables -A FORWARD -s $int_lan -p tcp -m multiport
--sport 80 -j ACCEPT
/sbin/iptables -A FORWARD -s $int_lan -p udp -m multiport
--sport 53,80 -j ACCEPT

/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state NEW,INVALID -j DROP

小威 · « **回覆 #3 於:** 2002-03-15 09:21 »

Thank you
i try now

kuolung · « **回覆 #4 於:** 2002-03-21 23:05 »

對不起，問個問題，為什麼要開 53 ??

Ken · « **回覆 #5 於:** 2002-03-22 10:10 »

做domain name resolve,不需要嗎??
有錯請指教.thanks.

kuolung · « **回覆 #6 於:** 2002-03-23 10:59 »

喔，這樣是沒有錯，但我的做法是 domain name resolve 是向內部的 dns
查，不要到外面去查，另我多開一個 443 埠的連線，估 https 連線用

kuolung · « **回覆 #7 於:** 2002-03-23 11:21 »

另請教一個問題

/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state NEW,INVALID -j DROP

這兩行是什麼意思??

Anonymous · « **回覆 #8 於:** 2002-03-23 15:33 »

參考如下網頁的文章﹐裡面有提到連線狀態的說明﹐一看您就知道了﹕
http://www.study-area.org/linux/servers/linux_nat.htm

酷!學園

最新消息: