設為首頁收藏本站
開啟輔助訪問 切換到寬版

聯成電腦技術論壇

 找回密碼
 註冊
搜索
聯成電腦技術論壇»論壇首頁 | 師生互動專區 | Linux系統管理班 小州老師 Linux iptables firewall 設定常見 FAQ 整理
123下一頁
返回列表 發新帖
樓主: kenduest

Linux iptables firewall 設定常見 FAQ 整理

[複製鏈接]
leftalan
頭像被屏蔽
發表於 2007-3-6 21:01:27 | 顯示全部樓層

Linux iptables firewall 設定常見 FAQ 整理

kenduest 寫到:

蓋掉 ? 既然你都放在最後開機流程後才啟動了,沒道理會消失啊 ?

是否要再檢查一下呢 ? 注意那個 S99 是不可以改的。

--

終於搞定了~原來預設服務要先關掉

另外請教老師~

SELS 10 的 線上updata 以及 線上時間校時 於filewall中該如何設定?

suse設定時間校時伺服器的地方在哪??

以及apache rewrite_module 要如何安裝!?

謝謝
回復 支持 反對

使用道具 舉報

kenduest
頭像被屏蔽
 樓主| 發表於 2007-3-7 03:01:35 | 顯示全部樓層

Linux iptables firewall 設定常見 FAQ 整理

>> 線上updata 以及 線上時間校時 於filewall中該如何設定?

看不懂意思。這些存取都是對外,但是你 firewall 一般是限制外面連你主機,所以這兩者沒關係。

>> 以及apache rewrite_module 要如何安裝!?

內建 apache package 都已經有所有 apache module,預設該 module 已經啟用。你需要的只是設定 RewriteEngine on 與後續 RewriteRule 設定而已。

--
回復 支持 反對

使用道具 舉報

kelovesp
頭像被屏蔽
發表於 2007-7-26 08:41:54 | 顯示全部樓層

Linux iptables firewall 設定常見 FAQ 整理

小州老師想請教於關於第9點的部份

我將vsftp跑 passive mode
他listen的port我更改為 30000
ftp-data的port我設為隨機取用的

也有戴入
modprobe ip_conntrack_ftp ports=21,30000

但是我的ftp client仍然存取不到ftp server
我的環境不管是client或是ftp server都是非在nat底下的電腦

以下是我的firewall rule設定
http://www.music.ne.jp/~file520/firewall-nat.txt

這個是我的vsftpd daemon設定檔(較下面的部份是我對於vsftp的passive設定)
http://www.music.ne.jp/~file520/vsftpd.txt

上面是我的server設定,但是我仍然存取不到ftp server
他提示的錯誤是:
STATUS:>          Connecting FTP data socket 61.56.153.153:12547...

請問是什麼原因呢 :-D
回復 支持 反對

使用道具 舉報

kenduest
頭像被屏蔽
 樓主| 發表於 2007-7-26 14:43:22 | 顯示全部樓層

Linux iptables firewall 設定常見 FAQ 整理


因為你已經載入該 module 了, 先卸載 ip_conntrack_ftp 後再掛入一次即可

--
回復 支持 反對

使用道具 舉報

woffwoff
頭像被屏蔽
發表於 2007-7-28 16:56:40 | 顯示全部樓層

Linux iptables firewall 設定常見 FAQ 整理

kksdffkcdlc
回復 支持 反對

使用道具 舉報

kenduest
頭像被屏蔽
 樓主| 發表於 2007-7-29 00:54:24 | 顯示全部樓層

Linux iptables firewall 設定常見 FAQ 整理


  1. iptables -t nat -A POSTROUTING -d 192.168.1.1 --dport 80 -s 192.168.1.0/24 -j SNAT --to 192.168.1.254
複製代碼


要多加上 -p tcp 才可以用 --dport 80 敘述.

--
回復 支持 反對

使用道具 舉報

woffwoff
頭像被屏蔽
發表於 2007-8-4 22:46:08 | 顯示全部樓層

Linux iptables firewall 設定常見 FAQ 整理

老師我用suse server 10版
我用192.168.1.254當nat
192.168.1.55 當web server及mail server
我用內部網路想看到192.168.1.55的網頁或是想收發信件
我用了以下規則
iptables -t nat -A POSTROUTING -d 192.168.1.55 -p tcp --dport 80 -s 192.168.1.0/24 -j SNAT --to 192.168.1.254
iptables -t nat -A POSTROUTING -d 192.168.1.55 -p tcp --dport 25 -s 192.168.1.0/24 -j SNAT --to 192.168.1.254
iptables -t nat -A POSTROUTING -d 192.168.1.55 -p tcp --dport 110 -s 192.168.1.0/24 -j SNAT --to 192.168.1.254
結果是看不到
請問老師
我哪裡出問題了
回復 支持 反對

使用道具 舉報

kenduest
頭像被屏蔽
 樓主| 發表於 2007-8-4 23:57:05 | 顯示全部樓層

Linux iptables firewall 設定常見 FAQ 整理


post "iptables-save" result

--
回復 支持 反對

使用道具 舉報

woffwoff
頭像被屏蔽
發表於 2007-8-5 16:32:34 | 顯示全部樓層

Linux iptables firewall 設定常見 FAQ 整理

# Generated by iptables-save v1.3.5 on Sun Aug  5 16:38:58 2007
*mangle
REROUTING ACCEPT [6959062:2517991150]
:INPUT ACCEPT [553245:652425904]
:FORWARD ACCEPT [6405369:1865499348]
:OUTPUT ACCEPT [319662:68465284]
OSTROUTING ACCEPT [6724998:1933962064]
-A PREROUTING -s 192.168.1.55 -i eth1 -j MARK --set-mark 0xc8
-A PREROUTING -s 192.168.1.56 -i eth1 -j MARK --set-mark 0xc8
-A PREROUTING -s 192.168.1.254 -i eth1 -j MARK --set-mark 0xc8
-A PREROUTING -s 192.168.1.31 -i eth1 -j MARK --set-mark 0x64
-A PREROUTING -s 192.168.1.32 -i eth1 -j MARK --set-mark 0x64
-A PREROUTING -s 192.168.1.33 -i eth1 -j MARK --set-mark 0x28
-A PREROUTING -s 192.168.1.34 -i eth1 -j MARK --set-mark 0x28
-A OUTPUT -p tcp -m tcp --sport 80 -j MARK --set-mark 0xc8
-A POSTROUTING -d 192.168.1.55 -j MARK --set-mark 0xa
-A POSTROUTING -d 192.168.1.254 -j MARK --set-mark 0xa
-A POSTROUTING -d 192.168.1.33 -j MARK --set-mark 0x1e
-A POSTROUTING -d 192.168.1.56 -j MARK --set-mark 0xa
COMMIT
# Completed on Sun Aug  5 16:38:58 2007
# Generated by iptables-save v1.3.5 on Sun Aug  5 16:38:58 2007
*nat
REROUTING ACCEPT [17:2835]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 122.116.230.200 -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.55:80
-A PREROUTING -d 122.116.230.200 -i ppp0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.55:25
-A PREROUTING -d 122.116.230.200 -i ppp0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.55:110
-A PREROUTING -d 122.116.230.200 -i ppp0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.55:443
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j SNAT --to-source 122.116.230.200
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j SNAT --to-source 122.116.230.200
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j SNAT --to-source 122.116.230.200
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.55 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.1.254
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.55 -p tcp -m tcp --dport 25 -j SNAT --to-source 192.168.1.254
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.55 -p tcp -m tcp --dport 110 -j SNAT --to-source 192.168.1.254
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.55 -p tcp -m tcp --dport 111 -j SNAT --to-source 192.168.1.254
COMMIT
# Completed on Sun Aug  5 16:38:58 2007
# Generated by iptables-save v1.3.5 on Sun Aug  5 16:38:58 2007
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [510:90255]
:OUTPUT ACCEPT [40:3772]
-A INPUT -i ppp0 -m limit --limit 3/min --limit-burst 3 -j LOG
-A INPUT -i ppp0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i ppp0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 32770 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 32768 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 32769 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 18080 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 5100 -j DROP
-A INPUT -i ppp0 -m state --state INVALID,NEW -j DROP
請問老師 哪裡出錯了
麻煩了,謝謝!
回復 支持 反對

使用道具 舉報

kenduest
頭像被屏蔽
 樓主| 發表於 2007-8-5 21:52:57 | 顯示全部樓層

Linux iptables firewall 設定常見 FAQ 整理

你的 rule 太亂了,看不懂意思。另外請看一下你自己的設定:


  2. -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j SNAT --to-source 122.116.230.200
  3. -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j SNAT --to-source 122.116.230.200
  4. -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j SNAT --to-source 122.116.230.200
  5. -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.55 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.1.254
  6. -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.55 -p tcp -m tcp --dport 25 -j SNAT --to-source 192.168.1.254
  7. -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.55 -p tcp -m tcp --dport 110 -j SNAT --to-source 192.168.1.254
  8. -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.55 -p tcp -m tcp --dport 111 -j SNAT --to-source 192.168.1.254
複製代碼


你到底是要 SNAT 給誰,前面說要給 122.116.230.200,後面要說要 SNAT 給 192.168.1.254,後面 rule 當然跑不到.

所以順序改一下吧:)

回復 支持 反對

使用道具 舉報

下一頁 »
123下一頁
返回列表 發新帖
高級模式
B Color Image Link Quote Code Smilies
您需要登錄後才可以回帖 登錄 | 註冊

本版積分規則

小黑屋|Archiver|手機版|聯成電腦技術論壇

GMT+8, 2024-11-14 23:58

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回復 返回頂部 返回列表