当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 12 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 急救!!超级小白求助关于iptables!!!(已有好人解决!)
帖子发表于 : 2009-08-21 12:35 
头像

注册: 2007-08-31 9:17
帖子: 339
送出感谢: 0 次
接收感谢: 0 次
一片文章中看到关于DNS端口打开用
iptables -A OUTPUT -o eth1 -p TCP --sport 1024:65535 --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth1 -p UDP --sport 1024:65535 --dport 53 -j ACCEPT
另一篇文章看到则用
iptables -A INPUT -i eth1 -p udp -sport 53 -j ACCEPT
望指教下有什么区别为什么上面的既有sport又有dport?分别代表什么意思
还有为什么上面的是用output 下面的使用input
为什么上面有tcp,udp 下面只有udp即可~
诚心求教!麻烦各位多指教!初学者诚心恳求贵人浪费一点点时间指教!感激不尽!


最后由 qq126512306 编辑于 2009-08-22 10:03,总共编辑了 1 次

页首
 用户资料  
 
2 楼 
 文章标题 : Re: 急救!!超级小白求助关于iptables!!!
帖子发表于 : 2009-08-21 12:38 

注册: 2008-04-11 23:31
帖子: 185
送出感谢: 0 次
接收感谢: 0 次
建议goolge一下iptables的用法


页首
 用户资料  
 
3 楼 
 文章标题 : Re: 急救!!超级小白求助关于iptables!!!
帖子发表于 : 2009-08-21 12:52 
头像

注册: 2007-08-31 9:17
帖子: 339
送出感谢: 0 次
接收感谢: 0 次
yuu1010 写道:
建议goolge一下iptables的用法

有好多 也不是很明白啊~
上面几个问题您懂吗?望指教!


页首
 用户资料  
 
4 楼 
 文章标题 : Re: 急救!!超级小白求助关于iptables!!!
帖子发表于 : 2009-08-21 13:00 

注册: 2008-04-11 23:31
帖子: 185
送出感谢: 0 次
接收感谢: 0 次
qq126512306 写道:
yuu1010 写道:
建议goolge一下iptables的用法

有好多 也不是很明白啊~
上面几个问题您懂吗?望指教!


我以前自学了一下,长时间没碰都忘了。
下面写的是记得的 :em06
sport是source port(源端口)
dport是destination port(目的端口)

INPUT,OUTPUT是叫链还是什么,我忘了

tcp,udp是网络协议


页首
 用户资料  
 
5 楼 
 文章标题 : Re: 急救!!超级小白求助关于iptables!!!
帖子发表于 : 2009-08-21 13:12 
头像

注册: 2007-08-31 9:17
帖子: 339
送出感谢: 0 次
接收感谢: 0 次
yuu1010 写道:
qq126512306 写道:
yuu1010 写道:
建议goolge一下iptables的用法

有好多 也不是很明白啊~
上面几个问题您懂吗?望指教!


我以前自学了一下,长时间没碰都忘了。
下面写的是记得的 :em06
sport是source port(源端口)
dport是destination port(目的端口)

INPUT,OUTPUT是叫链还是什么,我忘了

tcp,udp是网络协议

sport是source port(源端口)
dport是destination port(目的端口)分别代表什么 为什么有些地方用sport 有些用dport?
像下面那个直接用sport,而dport用都没用~


页首
 用户资料  
 
6 楼 
 文章标题 : Re: 急救!!超级小白求助关于iptables!!!
帖子发表于 : 2009-08-21 13:50 
头像

注册: 2007-08-31 9:17
帖子: 339
送出感谢: 0 次
接收感谢: 0 次
求助求助~~~顶顶~ :em06


页首
 用户资料  
 
7 楼 
 文章标题 : Re: 急救!!超级小白求助关于iptables!!!
帖子发表于 : 2009-08-21 19:52 

注册: 2007-08-27 17:31
帖子: 445
送出感谢: 0 次
接收感谢: 1
sport,dport都是匹配条件

OUTPUT,INPUT是filter表的链

OUTPUT管理本机出站的包,为了能让本机访问其他机器的DNS服务,需要让发往外边53端口包通过,转化为规则就是
--dport 53 (目标为53端口,前边的--sport写的没有必要,除非你要限制特定程序才能访问外边53端口)
因为要匹配端口,所以需要指明协议,而跟端口有关的协议为tcp,udp。所以转化为规则为
-p tcp 或 -p udp

因为DNS服务开放的53端口,可以同时连接两种协议,所以写个两次规则,区别就是-p 后边的参数

INPUT管理外来进入本机的包,为了能让外边DNS服务发出的回应包能进入本机就要开放来源端口为53的包,转化规则
--sport 53

一般来说DNS默认使用UDP通信,所以只需要匹配UDP协议就可以了,不需要匹配TCP类型的。

通过端口可以确定使用的应用程序,比如53端口对应DNS服务,80对应WEB服务,如果--sport 53匹配上了,那么可以确定发过来的包是DNS程序。

-o eth1 是出站的网卡名称。
-i eth1 是进站的网卡名称。


_________________
你能学会世界上所有语言来叫一种鸟的名字,当你知道所有这些名字叫法后,却对这种鸟一无所知~
理查德-费曼


页首
 用户资料  
 
8 楼 
 文章标题 : Re: 急救!!超级小白求助关于iptables!!!
帖子发表于 : 2009-08-21 20:03 
头像

注册: 2007-08-31 9:17
帖子: 339
送出感谢: 0 次
接收感谢: 0 次
angelus 写道:
sport,dport都是匹配条件

OUTPUT,INPUT是filter表的链

OUTPUT管理本机出站的包,为了能让本机访问其他机器的DNS服务,需要让发往外边53端口包通过,转化为规则就是
--dport 53 (目标为53端口,前边的--sport写的没有必要,除非你要限制特定程序才能访问外边53端口)
因为要匹配端口,所以需要指明协议,而跟端口有关的协议为tcp,udp。所以转化为规则为
-p tcp 或 -p udp

因为DNS服务开放的53端口,可以同时连接两种协议,所以写个两次规则,区别就是-p 后边的参数

INPUT管理外来进入本机的包,为了能让外边DNS服务发出的回应包能进入本机就要开放来源端口为53的包,转化规则
--sport 53

一般来说DNS默认使用UDP通信,所以只需要匹配UDP协议就可以了,不需要匹配TCP类型的。

通过端口可以确定使用的应用程序,比如53端口对应DNS服务,80对应WEB服务,如果--sport 53匹配上了,那么可以确定发过来的包是DNS程序。

万分感谢!!!回答的很详尽!
就是说上面两条 其实可以写成iptables -A OUTPUT -o eth1 -p UDP --dport 53 -j ACCEPT一条,可以把--sport的去掉也没影响,对吗?
而要达到开放一个端口的目的的话,即可以用input也可以用output,对吗?就是说 其实
iptables -A OUTPUT -o eth1 -p UDP --dport 53 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -sport 53 -j ACCEPT 这两条是一样的,只要选择其一就可以了,是不?
望指教!!感激感激!


页首
 用户资料  
 
9 楼 
 文章标题 : Re: 急救!!超级小白求助关于iptables!!!
帖子发表于 : 2009-08-21 20:10 

注册: 2007-08-27 17:31
帖子: 445
送出感谢: 0 次
接收感谢: 1
两条是不一样的
iptables -A OUTPUT -o eth1 -p udp --dport 53 -j ACCEPT
意思是允许发往外网53端口的包可以通过
iptables -A INPUT -i eth1 -p udp -sport 53 -j ACCEPT
意思是允许外网DNS发的回应包可以进入本机

比如,你想吃份快餐,让机器人出去买,就需要它可以出门,买到快餐后,就必须允许它进门。
缺少任何一个必须,你都不要想吃到!
而端口的限制,就是让机器人必须是买快餐才可以出门,买到的是快餐,才可以进门,买其他的不允许!

另外,--sport 只是为了确定这个包究竟是什么程序产生的
--dport是为了确定这个包究竟是要发往那个程序的


_________________
你能学会世界上所有语言来叫一种鸟的名字,当你知道所有这些名字叫法后,却对这种鸟一无所知~
理查德-费曼


页首
 用户资料  
 
10 楼 
 文章标题 : Re: 急救!!超级小白求助关于iptables!!!
帖子发表于 : 2009-08-21 20:17 
头像

注册: 2007-08-31 9:17
帖子: 339
送出感谢: 0 次
接收感谢: 0 次
angelus 写道:
两条是不一样的
iptables -A OUTPUT -o eth1 -p udp --dport 53 -j ACCEPT
意思是允许发往外网53端口的包可以通过
iptables -A INPUT -i eth1 -p udp -sport 53 -j ACCEPT
意思是允许外网DNS发的回应包可以进入本机

比如,你想吃份快餐,让机器人出去买,就需要它可以出门,买到快餐后,就必须允许它进门。
缺少任何一个必须,你都不要想吃到!
而端口的限制,就是让机器人必须是买快餐才可以出门,买到的是快餐,才可以进门,买其他的不允许!

好形象!!理解了!那就是说我们设置iptables的时候需要把两条都写里面了?
但为什么我看一些入门教程说 打开dns端口只写了
iptables -A INPUT -i eth1 -p udp -sport 53 -j ACCEPT
或者iptables -A OUTPUT -o eth1 -p udp --dport 53 -j ACCEPT

那我们设置端口的时候要怎么写~请教下!


页首
 用户资料  
 
11 楼 
 文章标题 : Re: 急救!!超级小白求助关于iptables!!!
帖子发表于 : 2009-08-21 20:24 

注册: 2007-08-27 17:31
帖子: 445
送出感谢: 0 次
接收感谢: 1
你可以实际测试下
将两条链的默认规则设置为DORP
然后只开放OUTPUT的53端口包可以出去,然后打开网业,你会发现要等很长时间,然后得到一个超时
或者只开放INPUT链的53端口包可以近来,同样的情况

前种情况是,你得不到DNS服务器给你解析的IP地址
后种情况是,你根本就发不出去请求解析的包

一般教程上都是片面的说的!


_________________
你能学会世界上所有语言来叫一种鸟的名字,当你知道所有这些名字叫法后,却对这种鸟一无所知~
理查德-费曼


页首
 用户资料  
 
12 楼 
 文章标题 : Re: 急救!!超级小白求助关于iptables!!!
帖子发表于 : 2009-08-21 20:30 

注册: 2007-08-27 17:31
帖子: 445
送出感谢: 0 次
接收感谢: 1
50384665
你还是加群吧


_________________
你能学会世界上所有语言来叫一种鸟的名字,当你知道所有这些名字叫法后,却对这种鸟一无所知~
理查德-费曼


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 12 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译