刚用ubunut做了个防火墙
外网eth2-192.168.1.102
内网eth0-192.168.0.1
以下是iptable-save的结果
root@Fire:~# iptables-save
# Generated by iptables-save v1.3.6 on Tue Dec 18 08:07:23 2007
*nat
REROUTING ACCEPT [13467:847486]
OSTROUTING ACCEPT [192:20586]
:OUTPUT ACCEPT [578:49412]
-A POSTROUTING -o eth2 -j MASQUERADE
COMMIT
# Completed on Tue Dec 18 08:07:23 2007
# Generated by iptables-save v1.3.6 on Tue Dec 18 08:07:23 2007
*filter
:INPUT DROP [241:24642]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [741:101896]
:syn-flood - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 110,80,8080,25,22,21,445,1863,5222 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -i eth2 -p udp -m multiport --dports 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 2000 --connlimit-mask 32 -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A FORWARD -m string --string "qq.com" --algo bm --to 65535 -j DROP
-A FORWARD -p tcp -m tcp --dport 53 -m string --string "tencent" --algo bm --to 65535 -j DROP
-A FORWARD -p tcp -m tcp --dport 53 -m string --string "TENCENT" --algo bm --to 65535 -j DROP
-A FORWARD -p udp -m udp --dport 53 -m string --string "TENCENT" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "tencent" --algo bm --to 65535 -j DROP
-A FORWARD -p tcp -m multiport --dports 80,110,8080,21,22,25,1723 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 80 -j ULOG --ulog-prefix "Http connection attempt: "
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -p gre -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -p icmp -j ACCEPT
-A FORWARD -m string --string "xxx.com" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string ".torrent" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "bt" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "fund" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "finance" --algo bm --to 65535 -j DROP
-A FORWARD -m string --string "stock" --algo bm --to 65535 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -m ipp2p --kazaa --gnu --edk --dc --bit --pp --xunlei --apple --soul --winmx --ares -j DROP
-A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m ipp2p --ares -j DROP
-A FORWARD -s 192.168.0.0/255.255.255.0 -p udp -m ipp2p --kazaa -j DROP
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT
系统里面没有装L7的补钉,直接安装了IPP2P
现在内网的机器可以开到网页,但是极度缓慢!好象打开www.pconline.com.cn的时候只能读到部分.图片不能显示
开多几个之后就完全不能开启了
内网ping www.baidu.com能解释
另外用OUTLOOK不能收HOTMAIL的邮件.每次登陆都提示用户密码错误
麻烦各位大大帮忙看看我是那个地方设置出错了,谢谢!小的是新接触IPTABLES的东西!很多都不了解.
用iptables设置好防火墙后!内网游览网页很慢!:(
-
spubull
- 帖子: 1
- 注册时间: 2007-12-19 0:43
-
hubert_star
- 论坛版主
- 帖子: 5373
- 注册时间: 2007-10-29 22:12
- 系统: OSX 10.9 + Ub 1304
- 来自: 江苏南京
你确信你的防火墙策略写的没有问题?
你就不能清空一条一条调试吗?
你就不能清空一条一条调试吗?
佛经说,人有八苦: 生、老、病、死、求不得、怨憎、爱别离、五阴盛 故我苦!
圣经说,人有七罪: 饕餮、贪婪、懒惰、淫欲、傲慢、嫉妒和暴怒 故我有罪!
我这篇帖子里面没有任何攻击我们伟大的中华人民共和国政府和任劳任怨的人民公仆(和本论坛高素质的版主)的文字和含义;
特此声明!
有些事,我们明知道是错的,也要去坚持,因为不甘心;有些人,我们明知道是爱的,也要去放弃,因为没结局;有时候,我们明知道没路了,却还在前行,因为习惯了。
欢迎来我的新浪微博@me
圣经说,人有七罪: 饕餮、贪婪、懒惰、淫欲、傲慢、嫉妒和暴怒 故我有罪!
我这篇帖子里面没有任何攻击我们伟大的中华人民共和国政府和任劳任怨的人民公仆(和本论坛高素质的版主)的文字和含义;
特此声明!
有些事,我们明知道是错的,也要去坚持,因为不甘心;有些人,我们明知道是爱的,也要去放弃,因为没结局;有时候,我们明知道没路了,却还在前行,因为习惯了。
欢迎来我的新浪微博@me