2010/05/18 学习 iptable, 为了ips测试

1. 关于iptable的顺序问题详细看 防火牆與 NAT

1. 关于iptable的顺序问题

假設您的 Linux 主機提供了 WWW 的服務,那麼自然就要針對 port 80 來啟用通過的封包規則,但是您發現 IP 來源為 192.168.100.100 老是惡意的嘗試入侵您的系統,所以您想要將該 IP 拒絕往來,最後,所有的非 WWW 的封包都給他丟棄,就這三個規則來說,您要如何設定防火牆檢驗順序呢?

  1. Rule 1 先抵擋 192.168.100.100 ;
  2. Rule 2 再讓要求 WWW 服務的封包通過;
  3. Rule 3 將所有的封包丟棄。
這樣的排列順序就能符合您的需求,不過,萬一您的順序排錯了,變成:
  1. Rule 1 先讓要求 WWW 服務的封包通過;
  2. Rule 2 再抵擋 192.168.100.100 ;
  3. Rule 3 將所有的封包丟棄。

此時,那個 192.168.100.100 『可以使用您的 WWW 服務』喔!因為只要他對您的主機送出 WWW 要求封包,就可以使用您的 WWW 主機功能了,因為您的規則順序定義第一條就會讓他通過, 而不去考慮第二條規則!這樣可以理解規則順序的意義了嗎!現在再來想一想,如果 Rule 1 變成了『將所有的封包丟棄』,Rule 2 才設定『WWW 服務封包通過』,請問,我的 client 可以使用我的 WWW 服務嗎?呵呵!答案是『否~』想通

2. 关于iptable nat

sysctl -w net.ipv4.ip_forward=1

打开路由的功能,不开是绝对不行。

 

debian:~# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 10.200.122.135

添加转发功能。

posted on 2010-05-18 17:04  Imagination  阅读(202)  评论(0编辑  收藏  举报

导航