anson lin
2002-03-20, 12:29 AM
我是用iptables來作NAT+防火牆,以下是我的設定 :
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p all -i eth1 -s 0.0.0.0/0 -j DROP
Client端都只能看網頁,用FTP,收發Mail,其餘全部要擋住
但是之後我加了一段Port Mapping (外面連Linux Ftp會轉到client端虛擬ip架的Ftp Server)
iptables -A POSTROUTING -t nat -p tcp -d 211.11.22.33 --dprot 21 -j DNAT --to 192.168.1.2:21
但是它就是不通
後來我發現它還是被
iptables -A FORWARD -p all -i eth1 -s 0.0.0.0/0 -j DROP
所擋住的(因為把這一行拿掉就可以成功的轉到虛擬ip的ftp server)
但是我又一定要限制Client的連線
請教我要增加哪一個指令讓我外面的FTP連線可以Mapping到我虛擬ip的FTP Server呢???
:rolleyes: :rolleyes: :rolleyes:
贊助商連結
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p all -i eth1 -s 0.0.0.0/0 -j DROP
Client端都只能看網頁,用FTP,收發Mail,其餘全部要擋住
但是之後我加了一段Port Mapping (外面連Linux Ftp會轉到client端虛擬ip架的Ftp Server)
iptables -A POSTROUTING -t nat -p tcp -d 211.11.22.33 --dprot 21 -j DNAT --to 192.168.1.2:21
但是它就是不通
後來我發現它還是被
iptables -A FORWARD -p all -i eth1 -s 0.0.0.0/0 -j DROP
所擋住的(因為把這一行拿掉就可以成功的轉到虛擬ip的ftp server)
但是我又一定要限制Client的連線
請教我要增加哪一個指令讓我外面的FTP連線可以Mapping到我虛擬ip的FTP Server呢???
:rolleyes: :rolleyes: :rolleyes:
贊助商連結