设为首页收藏本站

LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
LinuxSir.cn,穿越时空的Linuxsir!»论坛 运维技术 —— LinuxSir.cn 服务器架设、应用、维护 兄弟们帮我修改一下iptables的设置
返回列表 发新帖
查看: 779|回复: 9

兄弟们帮我修改一下iptables的设置

[复制链接]
lyl2001
发表于 2004-3-24 14:42:13 | 显示全部楼层 |阅读模式
#!/bin/sh

#清空防火墙
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
echo '1' > /proc/sys/net/ipv4/ip_forward
echo '1' > /proc/sys/net/ipv4/conf/eth0/forwarding
echo '1' > /proc/sys/net/ipv4/conf/eth1/forwarding
echo "8192" > /proc/sys/net/ipv4/ip_conntrack_max

iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -s 192.168.1.0/24 -A POSTROUTING -o eth0 -j MASQUERADE

各位兄弟帮我完善一下上面iptables的设置。主要功能实现内网能够收发邮件并能通过squid上网。
回复

使用道具 举报

发表于 2004-3-24 15:07:21 | 显示全部楼层
iptables -t nat -s 192.168.1.0/24 -A POSTROUTING -o eth0 -j MASQUERADE

网络环境没有交待清楚:
你有固定ip么?要不你的出口是eth0?如果有固定ip这里不要用MASQUERADE,改为SNAT。如果不是固定ip你拔号上网的话需要用ppp0.
回复 支持 反对

使用道具 举报

lyl2001
 楼主| 发表于 2004-3-25 08:10:50 | 显示全部楼层
我有两块网卡
eth0对外有固定ip a.b.c.d
eth1对内ip是192.168.1.1
是不是把
iptables -t nat -s 192.168.1.0/24 -A POSTROUTING -o eth0 -j MASQUERADE
改为
iptables -t nat -s 192.168.1.0/24 -A POSTROUTING -o eth0 -j SNAT --to a.b.c.d
回复 支持 反对

使用道具 举报

发表于 2004-3-25 08:40:52 | 显示全部楼层
是的,不过习惯上好像都是这样写的:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24  -o eth0 -j SNAT --to a.b.c.d
回复 支持 反对

使用道具 举报

lyl2001
 楼主| 发表于 2004-3-25 08:55:20 | 显示全部楼层
谢谢飞扬兄
还有我想封掉qq该怎样写
回复 支持 反对

使用道具 举报

lyl2001
 楼主| 发表于 2004-3-25 09:08:30 | 显示全部楼层
还有我想把 iptables -P INPUT ACCEPT改为iptables -P INPUT DROP就上不了网了
回复 支持 反对

使用道具 举报

发表于 2004-3-25 09:12:30 | 显示全部楼层
http://bbs.chinaunix.net/forum/v ... amp;highlight=封QQ

看看这个,其实关于iptables规则及应用,在论坛里有很多资料,可以先搜来看看。
回复 支持 反对

使用道具 举报

发表于 2004-3-25 09:14:20 | 显示全部楼层
最初由 lyl2001 发表
还有我想把 iptables -P INPUT ACCEPT改为iptables -P INPUT DROP就上不了网了


你都drop了,还上什么网。
回复 支持 反对

使用道具 举报

Bomber
发表于 2004-3-25 09:16:24 | 显示全部楼层
最初由 lyl2001 发表
还有我想把 iptables -P INPUT ACCEPT改为iptables -P INPUT DROP就上不了网了


我认为这样只是linux主机就上不了网而已,对LAN没有影响吧
回复 支持 反对

使用道具 举报

Bomber
发表于 2004-3-25 09:29:09 | 显示全部楼层
QQSRVIP="61.144.238.145 61.144.238.146 61.144.238.156 202.104.129.251 202.104.129.254 202.104.129.252 202.104.129.253 61.141.194.203 202.96.170.166 218.18.95.221 219.133.45.15 61.141.194.224 202.96.170.164 218.17.209.23 218.18.95.153 61.141.194.227 218.18.95.171 218.17.209.42 61.144.238.155 218.18.95.140"
iptables -A FORWARD -p udp -i eth1 -s 192.168.1.0/24 --dport 8000 -j DROP
for x in ${QQSRVIP}
do
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -d ${x} -j DROP
done

以上是本人知道的QQ服务器的IP和写的一个简单脚本,我想基本上可以实现对LAN的QQ控制了,呵呵~~~
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表