写了个iptable的规则做路由,看下有没毛病

[baby]

用一台破电脑给内网上网
192.168.20.20 eth0 上面接了个路由(使用路由拨号,路由ip192.168.20.1)
192.168.2.1 eth1 链接内网交换机,开启dhcp服务

代码： 全选

#!/bin/bash
#06.26.2010
#Power 165449705
#先清空规则
/sbin/iptables -F
/sbin/iptables -t nat -F 
/sbin/iptables -t filter -F

#加载默认规则
/sbin/iptables -A INPUT -i eth1 -s 192.168.2.100 -m mac --mac-source 00:24:1d:5a:29:0f -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -s 192.168.2.101 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -s 192.168.2.102 -m mac --mac-source 00:15:f2:ed:ec:c4 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -s 192.168.2.103 -m mac --mac-source 48:5b:39:c5:db:0e -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -s 192.168.2.104 -m mac --mac-source 00:26:18:F9:ED:78 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -s 192.168.2.105 -m mac --mac-source 00:26:9e:c7:73:12 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -s 192.168.2.106 -m mac --mac-source 00:26:22:00:b1:b0 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -s 192.168.2.107 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -s 192.168.20.10 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -s 192.168.20.3 -j ACCEPT

/sbin/iptables -A INPUT -p tcp -m multiport --dports 80,22,10000 -j ACCEPT
/sbin/iptables -A INPUT -m state --state 	RELATED,ESTABLISHED -j 	ACCEPT

#打开DNS
/sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT 

###默认接口处理
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -P INPUT DROP

##做路由转发
/sbin/iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth1 -j MASQUERADE


##过滤网站
#/sbin/iptables -A FORWARD -d http://www.xunlei.com -j DROP



##定时转发
#/sbin/iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to 192.168.2.1:80 
#/sbin/iptables -t nat -I PREROUTING -s 192.168.2.0/24  -p tcp --dport 80 -j DNAT --to 192.168.20.20:80
#/sbin/iptables -t nat -D PREROUTING -s 192.168.2.0/24  -p tcp --dport 80 -j DNAT --to 192.168.20.20:80

[newnetexr]

filter和nat表的default没有设置为DROP了吗？

[baby]

ilter和nat表的default都设置为DROP,再一个个打开,麻烦阿,默认开了
感觉直接控制INPUT这样简洁些,一个表应该够了

[baby]

10年之后再来看这个帖子，真是一种风味