
平臺(tái) 論壇博客文庫

論壇徽章:: 0

電梯直達(dá)

1樓 [收藏(0)] [報(bào)告]

發(fā)表于 2007-12-19 00:40 |只看該作者 |倒序?yàn)g覽

剛用ubunut做了個(gè)防火墻\r\n外網(wǎng)eth2-192.168.1.102\r\n內(nèi)網(wǎng)eth0-192.168.0.1\r\n\r\n以下是iptable-save的結(jié)果\r\n\r\nroot@Fire:~# iptables-save\r\n# Generated by iptables-save v1.3.6 on Tue Dec 18 08:07:23 2007\r\n*nat\r\nREROUTING ACCEPT [13467:847486]\r\nOSTROUTING ACCEPT [192:20586]\r\n:OUTPUT ACCEPT [578:49412]\r\n-A POSTROUTING -o eth2 -j MASQUERADE\r\nCOMMIT\r\n# Completed on Tue Dec 18 08:07:23 2007\r\n# Generated by iptables-save v1.3.6 on Tue Dec 18 08:07:23 2007\r\n*filter\r\n:INPUT DROP [241:24642]\r\n:FORWARD DROP [0:0]\r\n:OUTPUT ACCEPT [741:101896]\r\n:syn-flood - [0:0]\r\n-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT\r\n-A INPUT -p tcp -m multiport --dports 110,80,8080,25,22,21,445,1863,5222 -j ACCEPT\r\n-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 139 -j ACCEPT\r\n-A INPUT -i eth2 -p udp -m multiport --dports 53 -j ACCEPT\r\n-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT\r\n-A INPUT -p gre -j ACCEPT\r\n-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT\r\n-A INPUT -i eth2 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 2000 --connlimit-mask 32 -j DROP\r\n-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood\r\n-A FORWARD -m string --string \"qq.com\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -p tcp -m tcp --dport 53 -m string --string \"tencent\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -p tcp -m tcp --dport 53 -m string --string \"TENCENT\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -p udp -m udp --dport 53 -m string --string \"TENCENT\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -m string --string \"tencent\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -p tcp -m multiport --dports 80,110,8080,21,22,25,1723 -j ACCEPT\r\n-A FORWARD -p tcp -m tcp --dport 80 -j ULOG --ulog-prefix \"Http connection attempt: \"\r\n-A FORWARD -p udp -m udp --dport 53 -j ACCEPT\r\n-A FORWARD -s 192.168.0.0/255.255.255.0 -p gre -j ACCEPT\r\n-A FORWARD -s 192.168.0.0/255.255.255.0 -p icmp -j ACCEPT\r\n-A FORWARD -m string --string \"xxx.com\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -m string --string \".torrent\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -m string --string \"bt\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -m string --string \"fund\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -m string --string \"finance\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -m string --string \"stock\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT\r\n-A FORWARD -s 192.168.0.0/255.255.255.0 -m ipp2p --kazaa --gnu --edk --dc --bit --pp --xunlei --apple --soul --winmx --ares -j DROP\r\n-A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m ipp2p --ares -j DROP\r\n-A FORWARD -s 192.168.0.0/255.255.255.0 -p udp -m ipp2p --kazaa -j DROP\r\n-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN\r\n-A syn-flood -j REJECT --reject-with icmp-port-unreachable\r\nCOMMIT\r\n\r\n系統(tǒng)里面沒有裝L7的補(bǔ)釘,直接安裝了IPP2P\r\n\r\n現(xiàn)在內(nèi)網(wǎng)的機(jī)器可以開到網(wǎng)頁,但是極度緩慢!好象打開www.pconline.com.cn的時(shí)候只能讀到部分.圖片不能顯示\r\n開多幾個(gè)之后就完全不能開啟了\r\n內(nèi)網(wǎng)ping www.baidu.com能解釋\r\n另外用OUTLOOK不能收HOTMAIL的郵件.每次登陸都提示用戶密碼錯(cuò)誤\r\n\r\n麻煩各位大大幫忙看看我是那個(gè)地方設(shè)置出錯(cuò)了,謝謝!小的是新接觸IPTABLES的東西!很多都不了解.

kentchoi

小富即安

論壇徽章:: 0

2樓 [報(bào)告]

發(fā)表于 2007-12-19 10:35 |只看該作者

-A FORWARD -m string --string \"xxx.com\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -m string --string \".torrent\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -m string --string \"bt\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -m string --string \"fund\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -m string --string \"finance\" --algo bm --to 65535 -j DROP\r\n-A FORWARD -m string --string \"stock\" --algo bm --to 65535 -j DROP\r\n\r\n這種是開啟了 iptables 的關(guān)鍵字過濾功能？\r\n\r\n先把這些應(yīng)用過濾東西去掉，，看看呢？