[問題] iptables設定問題

Discussion:

[問題] iptables設定問題

(时间太久无法回复)

快轉量產吧～～

2012-10-06 02:05:00 UTC

我有個小問題想請問

iptables設定成
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

跟
iptables -P INPUT DROP
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT

有差異嗎?

就安全性來說，會有很大的差別嗎？

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 111.243.92.226

快轉量產吧～～

2012-10-07 02:19:25 UTC

Permalink

感謝各位的回覆，我確實是要用在server上的，我少貼了下面的規，現在一起補上。

#!/bin/bash
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD ACCEPT

#eth0/ppp0
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT

#localhost
iptables -A INPUT -i lo -j ACCEPT

#intranet
iptables -A INPUT -i eth0 -S 192.168.0.0/24 -j ACCEPT

#ssh
iptables -A INPUT -i ppp0 -p tcp --dport xx -j ACCEPT

#webmin
iptables -A INPUT -i ppp0 -p tcp --dport xx -j ACCEPT

#Apache2
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

#Proftpd
iptables -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 111.243.95.157
※ 編輯: prsb 來自: 111.243.95.157 (10/07 10:19)

Belldandy

2012-10-07 09:26:38 UTC

Permalink

借標題發問
下面是我的 iptables.sh
因為是新手參考鳥哥的網站設定的想請教這樣子設有沒有什麼問題
主機只有負責 NAT+DHCP 然後有開 PORT 給 NAT 後的主機使用
平常是用 SSH 設定主機(區網內)

#!/bin/bash
iptables -F -t mangle
iptables -X -t mangle
iptables -Z -t mangle
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
iptables -t mangle -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:65495 -j TCPMSS --clamp-mss-to-pmtu
#上面這行其實我很疑惑但是沒設又很多網站的開不了

iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport *** -j DNAT --to-destination 192.168.**.**:***
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport ***** -j DNAT --to-destination 192.168.**.**:*****
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport **** -j DNAT --to-destination 192.168.**.**:****
iptables -t nat -A POSTROUTING -s 192.168.**.0/24 -o ppp0 -j MASQUERADE

iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.**.0/24 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.**.* -p tcp --dport **** -j ACCEPT
iptables -A INPUT -s 192.168.**.** -p tcp --dport **** -j ACCEPT
exit 0

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 1.170.223.248
[1;31m→ [33mBellkna[m[33m:net.ipv4.ip_forward=1 有設這個 [m 10/07 17:26

鵟．騎士

2012-11-16 08:41:53 UTC

Permalink

Post by å¿«è½éç¢å§ï½ï½
我有個小問題想請問
iptables設定成
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
跟
iptables -P INPUT DROP
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
有差異嗎?
就安全性來說，會有很大的差別嗎？

http://en.wikipedia.org/wiki/Stateful_firewall

--
⊙翱翔青空．傲視大地⊙