当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 10 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : [问题]ppp0的iptables规则,哪个更好点呢?
帖子发表于 : 2008-08-20 0:00 

注册: 2006-08-28 23:21
帖子: 30
送出感谢: 0 次
接收感谢: 0 次
我一个机器直接ppp链接到internet.拒绝任何接入。网上查到两个设置办法
1)
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

2)
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT <--- 另外一个问题,why use ! ppp0
iptables -A block -j DROP
iptables -A INPUT -j block
iptables -A FORWARD -j block

这两种有什么不同,效果是否一样呢?哪个更好呢?

谢谢。


页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2008-08-23 1:38 
头像

注册: 2006-09-13 23:59
帖子: 56
送出感谢: 0 次
接收感谢: 0 次
第二个比较好!
use !ppp0是因为本机的有些服务是驻留在lo接口上,要让这些服务正常运行,必须能够在lo接口上发送或者接收syn包,这也是!ppp0接口可以接收NEW状态包原因。


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2008-08-24 13:38 

注册: 2007-05-13 15:20
帖子: 333
送出感谢: 0 次
接收感谢: 0 次
两个都不行,用用就知道了

试试这个啦

iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT

#访问一般的网络服务
iptables -A INPUT -p tcp -dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT

#不用时间同步的可以不要
iptables -A INPUT -p udp -sport 123 -m state --state RELATED,ESTABLISHED -j ACCEPT

#Ping回显
iptables -A INPUT -p icmp -m state --state ESTABLISHED --icmp-type 0 -j ACCEPT

#不正常的数据包
iptables -A INPUT -m state --state INVALID -j DROP

#记录正常,但不但规则的数据包
iptables -A INPUT -j LOG --log-prefix "Unknown Package: "


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2008-08-25 11:07 

注册: 2006-08-28 23:21
帖子: 30
送出感谢: 0 次
接收感谢: 0 次
chasye 写道:
两个都不行,用用就知道了

试试这个啦

iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT

#访问一般的网络服务
iptables -A INPUT -p tcp -dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT

#不用时间同步的可以不要
iptables -A INPUT -p udp -sport 123 -m state --state RELATED,ESTABLISHED -j ACCEPT

#Ping回显
iptables -A INPUT -p icmp -m state --state ESTABLISHED --icmp-type 0 -j ACCEPT

#不正常的数据包
iptables -A INPUT -m state --state INVALID -j DROP

#记录正常,但不但规则的数据包
iptables -A INPUT -j LOG --log-prefix "Unknown Package: "


你的这个貌似只是开了1024这个端口。


页首
 用户资料  
 
5 楼 
 文章标题 :
帖子发表于 : 2008-08-25 11:07 

注册: 2006-08-28 23:21
帖子: 30
送出感谢: 0 次
接收感谢: 0 次
str263 写道:
第二个比较好!
use !ppp0是因为本机的有些服务是驻留在lo接口上,要让这些服务正常运行,必须能够在lo接口上发送或者接收syn包,这也是!ppp0接口可以接收NEW状态包原因。


第二个好的原因是什么呢?


页首
 用户资料  
 
6 楼 
 文章标题 :
帖子发表于 : 2008-08-25 11:44 
论坛管理员

注册: 2005-03-27 0:06
帖子: 10116
系统: Ubuntu 12.04
送出感谢: 7
接收感谢: 128
如果你同时配置了vpn接入服务,将会出现ppp1,ppp2... 这样第一种就有问题了,第二种就不会。


页首
 用户资料  
 
7 楼 
 文章标题 :
帖子发表于 : 2008-08-26 20:38 

注册: 2007-05-13 15:20
帖子: 333
送出感谢: 0 次
接收感谢: 0 次
health_kxy 写道:
chasye 写道:
两个都不行,用用就知道了

试试这个啦

iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT

#访问一般的网络服务
iptables -A INPUT -p tcp -dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT

#不用时间同步的可以不要
iptables -A INPUT -p udp -sport 123 -m state --state RELATED,ESTABLISHED -j ACCEPT

#Ping回显
iptables -A INPUT -p icmp -m state --state ESTABLISHED --icmp-type 0 -j ACCEPT

#不正常的数据包
iptables -A INPUT -m state --state INVALID -j DROP

#记录正常,但不但规则的数据包
iptables -A INPUT -j LOG --log-prefix "Unknown Package: "


你的这个貌似只是开了1024这个端口。


你看不到1024后的“:”吗???


页首
 用户资料  
 
8 楼 
 文章标题 :
帖子发表于 : 2008-08-27 16:43 

注册: 2006-08-28 23:21
帖子: 30
送出感谢: 0 次
接收感谢: 0 次
chasye 写道:
health_kxy 写道:
chasye 写道:
两个都不行,用用就知道了

试试这个啦

iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT

#访问一般的网络服务
iptables -A INPUT -p tcp -dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT

#不用时间同步的可以不要
iptables -A INPUT -p udp -sport 123 -m state --state RELATED,ESTABLISHED -j ACCEPT

#Ping回显
iptables -A INPUT -p icmp -m state --state ESTABLISHED --icmp-type 0 -j ACCEPT

#不正常的数据包
iptables -A INPUT -m state --state INVALID -j DROP

#记录正常,但不但规则的数据包
iptables -A INPUT -j LOG --log-prefix "Unknown Package: "


你的这个貌似只是开了1024这个端口。


你看不到1024后的“:”吗???


ok,那低于1024的端口呢?


页首
 用户资料  
 
9 楼 
 文章标题 :
帖子发表于 : 2008-08-27 17:11 

注册: 2006-08-28 23:21
帖子: 30
送出感谢: 0 次
接收感谢: 0 次
chasye 写道:
两个都不行,用用就知道了

试试这个啦

iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT

#访问一般的网络服务
iptables -A INPUT -p tcp -dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT

#不用时间同步的可以不要
iptables -A INPUT -p udp -sport 123 -m state --state RELATED,ESTABLISHED -j ACCEPT

#Ping回显
iptables -A INPUT -p icmp -m state --state ESTABLISHED --icmp-type 0 -j ACCEPT

#不正常的数据包
iptables -A INPUT -m state --state INVALID -j DROP

#记录正常,但不但规则的数据包
iptables -A INPUT -j LOG --log-prefix "Unknown Package: "


你用过吗?自己试验过吗???


页首
 用户资料  
 
10 楼 
 文章标题 :
帖子发表于 : 2008-08-27 18:24 

注册: 2007-05-13 15:20
帖子: 333
送出感谢: 0 次
接收感谢: 0 次
health_kxy 写道:
chasye 写道:
两个都不行,用用就知道了

试试这个啦

iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT

#访问一般的网络服务
iptables -A INPUT -p tcp -dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT

#不用时间同步的可以不要
iptables -A INPUT -p udp -sport 123 -m state --state RELATED,ESTABLISHED -j ACCEPT

#Ping回显
iptables -A INPUT -p icmp -m state --state ESTABLISHED --icmp-type 0 -j ACCEPT

#不正常的数据包
iptables -A INPUT -m state --state INVALID -j DROP

#记录正常,但不但规则的数据包
iptables -A INPUT -j LOG --log-prefix "Unknown Package: "


你用过吗?自己试验过吗???


我用那个和这个不同~~~不过这个基本是按你的要求写的, 你试试一试就知道了,不过不知道有没有打错字
1024以下是保留的,不开服务器一般都不同~~~盾你的情况应该是用不到的


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 10 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译