Linux iptables firewall 設定常見 FAQ 整理

woffwoff · 發表於 2007-8-6 13:42:28

老師我聽你的把順序改過了
可是只有192.168.1.254這台看的到port 80
我想讓192.168.1.56這一台也看的到
我該怎麼改
請老師幫忙,謝謝!!
以下是iptables-save

dns:~ # iptables-save
# Generated by iptables-save v1.3.5 on Mon Aug 6 13:46:40 2007
*mangle

REROUTING ACCEPT [84273:18430789]
:INPUT ACCEPT [6287:2502275]
:FORWARD ACCEPT [77985:15928474]
:OUTPUT ACCEPT [5232:588498]

OSTROUTING ACCEPT [83214:16516744]
COMMIT
# Completed on Mon Aug 6 13:46:40 2007
# Generated by iptables-save v1.3.5 on Mon Aug 6 13:46:40 2007
*nat

REROUTING ACCEPT [4:192]

OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 122.116.230.200 -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.55:80
-A PREROUTING -d 122.116.230.200 -i ppp0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.55:25
-A PREROUTING -d 122.116.230.200 -i ppp0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.55:110
-A PREROUTING -d 122.116.230.200 -i ppp0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.55:443
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.55 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.1.254
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.55 -p tcp -m tcp --dport 25 -j SNAT --to-source 192.168.1.254
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.55 -p tcp -m tcp --dport 110 -j SNAT --to-source 192.168.1.254
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.55 -p tcp -m tcp --dport 111 -j SNAT --to-source 192.168.1.254
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Mon Aug  6 13:46:40 2007
# Generated by iptables-save v1.3.5 on Mon Aug  6 13:46:40 2007
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i ppp0 -m limit --limit 3/min --limit-burst 3 -j LOG
-A INPUT -i ppp0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i ppp0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 32770 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 32768 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 32769 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 18080 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 5100 -j DROP
-A INPUT -i ppp0 -m state --state INVALID,NEW -j DROP
COMMIT
# Completed on Mon Aug  6 13:46:40 2007

kenduest · 發表於 2007-8-6 14:55:50

可是只有192.168.1.254這台看的到port 80
我想讓192.168.1.56這一台也看的到

看不懂你的意思.... 你要把問題問清楚一點....

--

woffwoff · 發表於 2007-8-7 15:50:53

我按照老師說的把規則順序改了
但是我想要所有內部網路都看的到我的網頁
可是現在有問題
我內部網路看網頁跟收發mail
都必須都ip位址才可以用
也就是說我其他台電腦打網我公司的網址是看不到網頁的
也無法接收電子信件
但是外部網路是正常的
請老師幫忙到底出了什麼問題
謝謝！！

kenduest · 發表於 2007-8-7 16:23:22

你內部網路連線不會走到 ppp0 介面, 傳入介面會是 eth0, eth1 這類介面, 這行語法設定只會讓 internet 進來有效, 你內部網路連入不會套用該 rule..

-A PREROUTING -d 122.116.230.200 -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.55:80

複製代碼

那你知道應該怎樣改了吧 ?

另外比較好方式可以設定 dns 切出 view, 就是內部查詢 www.xxx.com.tw 與外部查詢 www.xxx.com.tw 得到 ip 不一樣, 這樣也可以解決該問題

--

帳號		自動登錄	找回密碼
密碼			註冊