当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 2 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 用iptables设置好防火墙后!内网游览网页很慢!:(
帖子发表于 : 2007-12-19 0:45 

注册: 2007-12-19 0:43
帖子: 1
送出感谢: 0 次
接收感谢: 0 次
刚用ubunut做了个防火墙
外网eth2-192.168.1.102
内网eth0-192.168.0.1

以下是iptable-save的结果

root@Fire:~# iptables-save
# Generated by iptables-save v1.3.6 on Tue Dec 18 08:07:23 2007
*nat
REROUTING ACCEPT [13467:847486]
OSTROUTING ACCEPT [192:20586]
:OUTPUT ACCEPT [578:49412]
-A POSTROUTING -o eth2 -j MASQUERADE
COMMIT
# Completed on Tue Dec 18 08:07:23 2007
# Generated by iptables-save v1.3.6 on Tue Dec 18 08:07:23 2007
*filter
:INPUT DROP [241:24642]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [741:101896]
:syn-flood - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 110,80,8080,25,22,21,445,1863,5222 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -i eth2 -p udp -m multiport --dports 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 2000 --connlimit-mask 32 -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A FORWARD -m string --string "qq.com" --algo bm --to 65535 -j DROP
-A FORWARD -p tcp -m tcp --dport 53 -m string --string "tencent" --algo bm --to 65535 -j DROP
-A FORWARD -p tcp -m tcp --dport 53 -m string --string "TENCENT" --algo bm --to 65535 -j DROP
-A FORWARD -p udp -m udp --dport 53 -m string --string "TENCENT" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "tencent" --algo bm --to 65535 -j DROP
-A FORWARD -p tcp -m multiport --dports 80,110,8080,21,22,25,1723 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 80 -j ULOG --ulog-prefix "Http connection attempt: "
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -p gre -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -p icmp -j ACCEPT
-A FORWARD -m string --string "xxx.com" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string ".torrent" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "bt" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "fund" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "finance" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "stock" --algo bm --to 65535 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -m ipp2p --kazaa --gnu --edk --dc --bit --pp --xunlei --apple --soul --winmx --ares -j DROP
-A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m ipp2p --ares -j DROP
-A FORWARD -s 192.168.0.0/255.255.255.0 -p udp -m ipp2p --kazaa -j DROP
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT

系统里面没有装L7的补钉,直接安装了IPP2P

现在内网的机器可以开到网页,但是极度缓慢!好象打开www.pconline.com.cn的时候只能读到部分.图片不能显示
开多几个之后就完全不能开启了
内网ping www.baidu.com能解释
另外用OUTLOOK不能收HOTMAIL的邮件.每次登陆都提示用户密码错误

麻烦各位大大帮忙看看我是那个地方设置出错了,谢谢!小的是新接触IPTABLES的东西!很多都不了解.


页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2007-12-19 1:31 
头像

注册: 2007-10-29 22:12
帖子: 5353
地址: 江苏南京
系统: OSX 10.9 + Ub 1304
送出感谢: 0 次
接收感谢: 5
你确信你的防火墙策略写的没有问题?
你就不能清空一条一条调试吗?


_________________
佛经说,人有八苦: 生、老、病、死、求不得、怨憎、爱别离、五阴盛 故我苦!
圣经说,人有七罪: 饕餮、贪婪、懒惰、淫欲、傲慢、嫉妒和暴怒  故我有罪!

我这篇帖子里面没有任何攻击我们伟大的中华人民共和国政府和任劳任怨的人民公仆(和本论坛高素质的版主)的文字和含义;

特此声明!

有些事,我们明知道是错的,也要去坚持,因为不甘心;有些人,我们明知道是爱的,也要去放弃,因为没结局;有时候,我们明知道没路了,却还在前行,因为习惯了。

欢迎来我的新浪微博@me


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 2 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译