hc_ttcm
设置iptables -P FORWARD DROP后,FTP不能联入。
我把 iptables -P FORWARD 设置成DROP之后,外面的人就连接不到我们的FTP服务器了。。。
原来FORWARD我设置的是ACCEPT。
我看置顶了。。
platinum
[quote]原帖由 [i]sanyork[/i] 于 2008-5-17 18:23 发表 [url=http://linux.chinaunix.net/bbs/redirect.php?goto=findpost&pid=6588597&ptid=1003263][img]http://linux.chinaunix.net/bbs/images/common/back.gif[/img][/url]
三楼的,命令是iptables,而不是iptable.
估计楼主是将ftp服务器放在内网,通过做端口映射来实现的吧,如果是这样就一定要allow你的那个FORWARD规格。 [/quote]
我写的命令也不是 iptables,而是 iptables-save
-save 不是参数,而是命令名的一部分
hc_ttcm
外网eth0 IP 1.1.1.1
内网eth1 IP 10.1.0.0/16
# Generated by iptables-save v1.2.11 on Tue May 20 19:34:23 2008
*filter
:INPUT ACCEPT [6:402]
:FORWARD DROP [1:48]
:OUTPUT ACCEPT [10:896]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 1.1.1.1 -p tcp -m tcp --dport 22 -j DROP
-A FORWARD -s 10.1.1.216 -j ACCEPT
-A FORWARD -p tcp -m iprange --src-range 10.1.0.210-10.1.0.228 -m tcp --dport 80 -j DROP
-A FORWARD -d 208.111.148.137 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m iprange --src-range 10.1.0.141-10.1.0.253 -j ACCEPT
-A FORWARD -m iprange --src-range 10.1.4.250-10.1.4.254 -j ACCEPT
-A FORWARD -s 10.1.0.1 -j ACCEPT
-A FORWARD -m iprange --src-range 10.1.2.1-10.1.2.60 -j ACCEPT
-A FORWARD -s 10.1.0.0/255.255.0.0 -p icmp -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A FORWARD -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.0.101-10.1.0.111 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.0.101-10.1.0.111 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.101-10.1.0.111 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.101-10.1.0.111 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.0.119-10.1.0.125 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.0.119-10.1.0.125 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.119-10.1.0.125 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.0.127-10.1.0.135 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.0.127-10.1.0.135 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.127-10.1.0.135 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.127-10.1.0.135 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.43-10.1.0.95 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.43-10.1.0.95 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.0.43-10.1.0.95 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.0.43-10.1.0.95 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.135-10.1.0.141 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.0.135-10.1.0.141 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.0.135-10.1.0.141 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.135-10.1.0.141 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.210-10.1.0.228 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.0.210-10.1.0.228 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.0.210-10.1.0.228 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.0.210-10.1.0.228 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.1.219-10.1.1.223 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 159.182.52.140 -p tcp -m iprange --src-range 10.1.1.219-10.1.1.223 -m tcp --dport 443 -j ACCEPT
-A FORWARD -d 122.216.201.17 -p tcp -m iprange --src-range 10.1.1.219-10.1.1.223 -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 122.216.201.20 -p tcp -m iprange --src-range 10.1.1.219-10.1.1.223 -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.1.0.233 -d 159.182.52.140 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.1.0.233 -d 159.182.52.140 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 10.1.0.233 -d 122.216.201.17 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 10.1.0.233 -d 122.216.201.17 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -m iprange --src-range 10.1.1.200-10.1.1.209 -j ACCEPT
COMMIT
# Completed on Tue May 20 19:34:23 2008
# Generated by iptables-save v1.2.11 on Tue May 20 19:34:23 2008
*mangle
:PREROUTING ACCEPT [62740816:35224348798]
:INPUT ACCEPT [346206:35482187]
:FORWARD ACCEPT [62391288:35188549588]
:OUTPUT ACCEPT [195069:21414957]
:POSTROUTING ACCEPT [62529929:35206311895]
COMMIT
# Completed on Tue May 20 19:34:23 2008
# Generated by iptables-save v1.2.11 on Tue May 20 19:34:23 2008
*nat
:PREROUTING ACCEPT [9:552]
:POSTROUTING ACCEPT [1:48]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 10.1.0.251
-A PREROUTING -i eth0 -p tcp -m tcp --dport 20 -j DNAT --to-destination 10.1.0.251
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.1.0.250
-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j DNAT --to-destination 10.1.0.250
-A PREROUTING -i eth0 -p udp -m udp --dport 53 -j DNAT --to-destination 10.1.0.251
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.1.0.251
-A POSTROUTING -o eth0 -j SNAT --to-source 1.1.1.1
COMMIT
# Completed on Tue May 20 19:34:23 2008
[[i] 本帖最后由 hc_ttcm 于 2008-5-20 19:01 编辑 [/i]]