一个关于iptables 的问题

wenwei99

iptables -A FORWARD -p udp -m state --state ESTABLISHED,RELATED --dport 1024: -j ACCEPT
这一条的 1024： 表示什么意思。

faint

>=1024的端口

wenwei99

多谢高手！我有一个问题问你。

iptables -A INPUT -i eth0 -p ! udp -d 224.0.0.0/4 -j DROP

这一条的 -p ! udp -d 224.0.0.0/4 怎么解释，本人是新手，
这个224.0.0.0/4 为什么不是8,而是4
我的规则是从网上copy的，修改后为自己用。

我是双网卡的，eth0连 internet，eth1 连局域网。
我用的是包过滤。

edwardhayes

!代表非
224.0.0.0/4代表224.0.0.0 的子网掩码为4位，也就是240.0.0.0。
这句话是丢掉非udp协议的224.0.0.0/4的网段上的目标包。

wenwei99

多谢版主
iptables -A FORWARD -p tcp -s 192.168.200.0/24 --dport 21 -j ACCEPT

哪跟这个192.168.200.0/24有什么区别，为什么它是/24
再看一条192.168.200.70/32，它是/32

edwardhayes

哪跟这个192.168.200.0/24有什么区别，为什么它是/24
再看一条192.168.200.70/32，它是/32

这主要是你的网络分类引起的。
有时候为了区分网段和合理节约ip地址，我们经常把一个网络分成几个子网。
这就是子网掩码的出发点。
兄弟最好先去看一些基础的网络知识，再研究iptables。
否则只会越来越迷糊。
另外，推荐你一本网络的好书《计算机网络－自顶向下方法与Internet特色（影印版）》，浅显易懂！

wenwei99

多谢版主的推荐，我想通啦！

以前我以为是这样：
192.168.200.70/32
192.168.200.0/24
192.168.0.0/16

所以当时我想，哪
224.0.0.0/4
应该是224.0.0.0/8 ，因为我的规则是从网上copy来的，
本来我以为是原作者错了。结果是我错啦。：)

当时我没有想到子网掩码这回事来，我以为iptables的规则是这样的。
因为自我学iptables以来，还没有见到/4 的。

所以版主是说是掩码240.0.0.0 ，我才想起
1111 0000 .0000 0000 .0000 0000 .0000 0000
240.             0            .0               .0

wenwei99

我搞iptables已经三个星期了，感觉上比三个星期前总算有点认识了
一开始就学iptables 有一点难，因为iptables
涉及的网络知识很广。差不多有一半的时间在找与iptables涉及的相关
知识。

多谢smile787、faint、edwardhayes版主、多谢各位高手，
多谢linuxsir

faint

netmask 某位为 1，那么网络号中的这一位是不变的(网络位)ip/mask 这种表示方法中，按位将 ip 和 mask 相与，mask 为 0 的位就是主机位。
192.168.0.24/24 和 192.168.0.0/24 是一回事 (即都是192.168.0.0)

192.168.0.1/25 和 192.168.0.129/25 是不同的 (分别是192.168.0.0 和 192.168.0.128)

192.168.0.24/32 和 192.168.0.25/32 也是不同的 (分别192.168.0.24 和 192.168.0.25)

建议看看网络基础的知道:-)