由 hgkrt 在 02-03-2004 03:36 发表:
请教大家关于iptables开放端口提供服务器的问题!!!
我的机器2块网卡,eth0对外,eth1对内(192.168.1.1)
我想提供FTP/HTTP服务,对内/外..(外部,内部都可以访问)
开放SMB,SSH/Telnet服务,对内...不允许外部访问..
请问这样的功能该如何去写呢???
欢迎访问我的个人主页!!!
主机:
网上空间:
http://www.paw.hi-ho.ne.jp/hgkrt
由 EvilSeed 在 02-08-2004 00:14 发表:
我想应该这样写吧:
iptables -P INPUT DROP //默认策略丢弃所有的包.
iptabls -A INPUT -i eth1 -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT //限制只有内部网能够SSH.
iptabls -A INPUT -i eth1 -s 192.168.1.0/24 -p tcp --dport 23 -j ACCEPT //限制只有内部网能够TELNET.
SMB的端口我不知道是多少,看了/etc/services也没有看到,老兄自己找到端口把--dport后面的端改成smb的端口就对了吧.老兄如果知道SMB使用的那个端口也请告诉我一声.
iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT //允许任何地址访问FTP.
http的同样改端口就是了.
由 wallace888 在 02-08-2004 00:32 发表:
不知道楼主的问题解决了吗?
由 hgkrt 在 02-08-2004 04:24 发表:
正在测试中...大家有好的,给俺讲讲!!
欢迎访问我的个人主页!!!
主机:
网上空间:
http://www.paw.hi-ho.ne.jp/hgkrt
由 hgkrt 在 02-08-2004 04:27 发表:
> quote:
>
> * * *
>
> 最初由 EvilSeed 发表
>
> **我想应该这样写吧:
>
> iptables -P INPUT DROP //默认策略丢弃所有的包.
>
> iptabls -A INPUT -i eth1 -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT //限制只有内部网能够SSH.
>
> iptabls -A INPUT -i eth1 -s 192.168.1.0/24 -p tcp --dport 23 -j ACCEPT //限制只有内部网能够TELNET.
>
> SMB的端口我不知道是多少,看了/etc/services也没有看到,老兄自己找到端口把--dport后面的端改成smb的端口就对了吧.老兄如果知道SMB使用的那个端口也请告诉我一声.
>
> iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT //允许任何地址访问FTP.
>
> http的同样改端口就是了. **
>
> * * *
是135:139..
iptables -A OUTPUT -p tcp --dport 135:139 -j DROP -o ppp0
iptables -A OUTPUT -p udp --dport 135:139 -j DROP -o ppp0
上面两句,是不是写的是禁止SMB从ppp0/eth0口出去呀!!!
PS:兄弟,你写的开放FTP/http的部分,是不是应该是eth0呀!!!我的eth0是对外的..
欢迎访问我的个人主页!!!
主机:
网上空间:
http://www.paw.hi-ho.ne.jp/hgkrt
由 llcspring 在 02-08-2004 07:02 发表:
> PHP源码: > > * * * > >
>
> #!/bin/bash
>
>
>
> if [ "$1" = "start" ]
>
> then
>
> echo "Starting firewall..."
>
> iptables - P INPUT DROP
>
> iptables - A INPUT - i ! eth0 - j ACCEPT
>
> iptables - A INPUT - m state -- state ESTABLISHED , RELATED - j ACCEPT
>
>
>
> iptables - A INPUT - p tcp -- dport 80 - m state -- state NEW - j ACCEPT
>
> iptables - A INPUT - p tcp -- dport 21 - m state -- state NEW - j ACCEPT
>
> iptables - A INPUT - p tcp -- dport 139 - m state -- state NEW - j ACCEPT
>
> iptables - A INPUT - p tcp -- dport 22 - m state -- state NEW - j ACCEPT
>
> iptables - A INPUT - p tcp - i eth0 - j REJECT -- reject - with tcp - reset
>
> iptables - A INPUT - p udp - i eth0 - j REJECT -- reject - with icmp - port - unreachable
>
>
>
> echo 1 > / proc / sys / net / ipv4 / ip_forward
>
>
>
> iptables - t nat - A POSTROUTING - o eth0 - j MASQUERADE
>
> fi
>
>
>
> if [ "$1" = "stop" ]
>
> then
>
> echo "Stopping firewall..."
>
> iptables - F INPUT
>
> iptables - P INPUT ACCEPT
>
> iptables - t nat - F POSTROUTING
>
> fi
>
>
>
> if [ "$1" = "restart" ]
>
> then
>
> echo "Restart firewll...."
>
> $ 0 "stop"
>
> $ 0 "start"
>
> fi
>
>
> > > * * * > >
欢迎光临我的网站
提供Debian镜像
100多G的Linux|Unix数据等您下载 。
由 hgkrt 在 02-08-2004 15:11 发表:
兄弟,你能否讲一下是啥意思呢???
欢迎访问我的个人主页!!!
主机:
网上空间:
http://www.paw.hi-ho.ne.jp/hgkrt
由 llcspring 在 02-09-2004 00:17 发表:
建议你看一下 《Linux 2.4有状态防火墙设计》
欢迎光临我的网站
提供Debian镜像
100多G的Linux|Unix数据等您下载 。
由 Snoopy 在 02-09-2004 02:04 发表:
http://www.study-area.org/linux/ser...nux_nat.htm#ftp
And then in the evening light, when the bars of freedom fall
I watch the two of you in the shadows on the wall
How in the darkness steals some of the choices from my hand
Then will I begin to under
由 EvilSeed 在 02-09-2004 13:44 发表:
> quote:
>
> * * *
>
> 最初由 llcspring 发表
>
> **
>
>> PHP源码: >> >> * * * >> >>
>
> #!/bin/bash
>
>
>
> if [ "$1" = "start" ]
>
> then
>
> echo "Starting firewall..."
>
> iptables - P INPUT DROP
>
> iptables - A INPUT - i ! eth0 - j ACCEPT
>
> iptables - A INPUT - m state -- state ESTABLISHED , RELATED - j ACCEPT
>
>
>
> iptables - A INPUT - p tcp -- dport 80 - m state -- state NEW - j ACCEPT
>
> iptables - A INPUT - p tcp -- dport 21 - m state -- state NEW - j ACCEPT
>
> iptables - A INPUT - p tcp -- dport 139 - m state -- state NEW - j ACCEPT
>
> iptables -
> **