關于FORWARD的規(guī)則疑問

zenglingping

在使用iptables作為網關防火墻時，我使用了如下命令：

iptables -P FORWARD ACCEPT
iptables -I FORWARD -d 119.126.159.XXX -j ACCEPT

內網無法直接對119.126.159.xxx進行直接訪問，請問是否理解有誤？

后來，我又使用此語句，
iptables -t nat -A POSTROUTING -s $LAN -d 119.126.159.XXX -j ACCEPT

其中l(wèi)an=192.168.0.0/19

但內網還是無法直接對119.126.159.xxx進行直接訪問，這是為何（排除119.126.159.xxx服務器的不正常）？

flag

是要做地址偽裝吧

chenyx

需要打開路由,做nat

zenglingping

你說的是forward吧，這是基本的，這些都做了，因為還有較多腳本，省略了，完整如下：

1. #### 1. Clear any existing chains ####
   
2. 
   
3. iptables -F
   
4. iptables -X
   
5. iptables -Z
   
6. 
   
7. #### 2. Setting up default policies ####
   
8. 
   
9. iptables -P INPUT DROP
   
10. iptables -P OUTPUT ACCEPT
    
11. iptables -P FORWARD ACCEPT
    
12. 
    
13. #### 3. Setting up interface lo access policies ####
    
14. 
    
15. iptables -A INPUT -i lo -j ACCEPT
    
16. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
17. 
    
18. 
    
19. 
    
20. ###################################################
    
21. #### PART II: Internal Server Filewall Setting ####
    
22. ###################################################
    
23. 
    
24. 
    
25. #### 1. Load any special modules ####
    
26. 
    
27. modprobe ip_tables             > /dev/null 2>&1
    
28. modprobe iptable_nat           > /dev/null 2>&1
    
29. modprobe ip_nat_ftp            > /dev/null 2>&1
    
30. modprobe ip_nat_irc            > /dev/null 2>&1
    
31. modprobe ip_conntrack          > /dev/null 2>&1
    
32. modprobe ip_conntrack_ftp      > /dev/null 2>&1
    
33. modprobe ip_conntrack_irc      > /dev/null 2>&1
    
34. modprobe tcp_syncookies        > /dev/null 2>&1
    
35. 
    
36. #### 2. Clear NAT table rules ####
    
37. 
    
38. iptables -F -t nat
    
39. iptables -X -t nat
    
40. iptables -Z -t nat
    
41. 
    
42. iptables -t nat -P PREROUTING   ACCEPT
    
43. iptables -t nat -P POSTROUTING  ACCEPT
    
44. iptables -t nat -P OUTPUT       ACCEPT
    
45. 
    
46. #### 3. Enable ip forward ####
    
47. 
    
48. iptables -A INPUT -i $INIF -j ACCEPT
    
49. 
    
50. echo 1 > /proc/sys/net/ipv4/ip_forward
    

復制代碼

platinum

你需要做 NAT，而你卻沒有做，或者說做的不對
做 NAT 的方法在我的教程里有示例，你可以看一下

http://linux.chinaunix.net/bbs/thread-722462-1-1.html

zenglingping

nat也做了呢。。

1. #### Enable transparence proxy ####
   
2. 
   
3. iptables -t nat -A PREROUTING -i eth1 -p tcp -s 0/0 --dport 80 -j REDIRECT --to-port 3128
   
4. iptables -t nat -A POSTROUTING -s $LAN -p tcp -m multiport --destination-port 21,53 -o $EXTIF -j MASQUERADE

復制代碼

zenglingping

原帖由 platinum 于 2009-8-20 12:40 發(fā)表
你需要做 NAT，而你卻沒有做，或者說做的不對
做 NAT 的方法在我的教程里有示例，你可以看一下

http://linux.chinaunix.net/bbs/thread-722462-1-1.html

你的大作去年就下載了，我的腳本很多，以上僅是基本的部分，其它應用是正常的，如網站發(fā)布，郵件等（nat）

platinum

原帖由 zenglingping 于 2009-8-21 15:40 發(fā)表

你的大作去年就下載了，我的腳本很多，以上僅是基本的部分，其它應用是正常的，如網站發(fā)布，郵件等（nat）

和你哪年下載的沒有關系，問題是你看了嗎？
我的 “大作” 里不是沒有例子，你看了嗎？
你的 POSTROUTING 用法簡直就是荒謬！

[ 本帖最后由 platinum 于 2009-8-21 17:50 編輯 ]

marsaber

感覺你有些規(guī)則都不知道是什么就隨便用了。
iptables -t nat -A POSTROUTING -s $LAN -d 119.126.159.XXX -j ACCEPT
為什么要這么寫？

zenglingping

以下就是最小化腳本，但是沒有做任何控制，個人認為能正常運行。

1. 
   
2. #### Define networks #######################
   
3. 
   
4. #!/bin/bash
   
5. PATH=/sbin:/bin:/usr/sbin:/usr/bin
   
6. export PATH
   
7. 
   
8. INIF="eth1"
   
9. EXTIF="eth0"
   
10. LAN="192.168.0.0/19"
    
11. 
    
12. 
    
13. 
    
14. export EXTIF INIF LAN
    
15. 
    
16. ############################################
    
17. #### PART I: Localhost Firewall Setting ####
    
18. ############################################
    
19. 
    
20. 
    
21. #### 1. Clear any existing chains ####
    
22. 
    
23. iptables -F
    
24. iptables -X
    
25. iptables -Z
    
26. 
    
27. #### 2. Setting up default policies ####
    
28. 
    
29. iptables -P INPUT DROP
    
30. iptables -P OUTPUT ACCEPT
    
31. iptables -P FORWARD ACCEPT
    
32. 
    
33. #### 3. Setting up interface lo access policies ####
    
34. 
    
35. iptables -A INPUT -i lo -j ACCEPT
    
36. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
37. 
    
38. 
    
39. 
    
40. 
    
41. 
    
42. ###################################################
    
43. #### PART II: Internal Server Filewall Setting ####
    
44. ###################################################
    
45. 
    
46. 
    
47. #### 1. Load any special modules ####
    
48. 
    
49. modprobe ip_tables             > /dev/null 2>&1
    
50. modprobe iptable_nat           > /dev/null 2>&1
    
51. modprobe ip_nat_ftp            > /dev/null 2>&1
    
52. modprobe ip_nat_irc            > /dev/null 2>&1
    
53. modprobe ip_conntrack          > /dev/null 2>&1
    
54. modprobe ip_conntrack_ftp      > /dev/null 2>&1
    
55. modprobe ip_conntrack_irc      > /dev/null 2>&1
    
56. modprobe tcp_syncookies        > /dev/null 2>&1
    
57. 
    
58. #### 2. Clear NAT table rules ####
    
59. 
    
60. iptables -F -t nat
    
61. iptables -X -t nat
    
62. iptables -Z -t nat
    
63. 
    
64. iptables -t nat -P PREROUTING   ACCEPT
    
65. iptables -t nat -P POSTROUTING  ACCEPT
    
66. iptables -t nat -P OUTPUT       ACCEPT
    
67. 
    
68. #### 3. Enable ip forward ####
    
69. 
    
70. iptables -A INPUT -i $INIF -j ACCEPT
    
71. 
    
72. echo 1 > /proc/sys/net/ipv4/ip_forward
    
73. 
    
74. iptables -t nat -A POSTROUTING -s 0/0 -o $EXTIF -j MASQUERADE       #Urgent use
    
75. 
    
76.        
    
77. #### Access internet control list & NAT forward rules ####
    
78. 
    
79. 
    
80. 
    
81. #######################################
    
82. #### Modification/Update Date note ####
    
83. #######################################
    
84. #2009/08/08 created by lingping
    

復制代碼