Linux 防火墙 Iptables

请把通过的内容放在前面(所有的iptable **********),这样比较安全
是不是修改我的iptable重新启动服务器就可以用了,还是要怎么设置才能用
主机要做网关代理上网的话,必须设置nat段吗?
只用filter段的FORWARD行不行(nat默认)?
gugong:
其中的一段:
# 让人家 ping 不通我 !
[0] -A INPUT -i eth1 -s 192.168.30/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0] -A INPUT -i eth1 -s 211.148.130.128/28 -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0] -A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j DROP
#

中的第一句中的"..... -s 192.168.30/24 -p ......"似乎缺一节数?因为IP地址一般是x.x.x.x,即应该是"..... -s 192.168.30.x/24 -p ......"。不知这个遗漏的"x"应该是什么?

这种情况在另一个帖子中也有。
192.168.30.0/24 即是 192.168.30.0/255.255.255.0

192.168.0.0/16 即是 192.168.0.0/255.255.0.0
太好了,终于被我发现……
古老大,我爱你,搞定了,呵呵。
你的网卡地址:
eth0:192.168.20.8 255.255.255.0
eth1:211.148.130.133 255.255.255.240
--------------------------------------------
#[0] -A INPUT -s 211.148.130.129 -i eth1 -p tcp -m tcp --dport 3306 -j DROP
#[0] -A INPUT -s 192.168.20.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT
#[0] -A INPUT -s 211.148.130.128/255.255.255.240 -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT
#[0] -A INPUT -p tcp -m tcp --dport 3306 -j DROP
---------------------------------------------
这里的:211.148.130.129应是211.148.130.133的上行网关地址,意思是封堵所有来自网关地址的数据包, 211.148,130,128是上一个子网的网络地址为什么要允许通过, 这样设置是什么目的, 不知道我说的有没有错误,请指教!
211.148.130.129 是路由器的 ip 地址。对不起,我没有指明。

任何外部的机器来访问时,都是通过这个路由器。

其实路由器自身不会来访问这个端口。来自外部的客户端的IP一般正常不会显示是路由器的IP地址。可是因为我怕某些假的、假的 ... ... !


211.148.130.128/255.255.255.240 是指:211.148.130.128—211.148.130.143
211.148.130.129 是路由器的 ip 地址。对不起,我没有指明。

任何外部的机器来访问时,都是通过这个路由器。

其实路由器自身不会来访问这个端口。来自外部的客户端的IP一般正常不会显示是路由器的IP地址。可是因为我怕某些假的、假的 ... ... !


211.148.130.128/255.255.255.240 是指:211.148.130.128—211.148.130.143
-----------------------------------------------------------------
这样能封堵住所有来自路由器的任何路由,而只有这个子网内的地址可以访问你的3306端口,但也不能从路由器方进入,只能通过路由器下的以太网交换机或者其它路由直接访问,不知道分析的是不是对的!
但是:

比如 211.148.130.138「属于211.148.130.128/255.255.255.240 之内」 来访问的话,也是通过路由器的路由来进行访问的。这是我这个防火墙规则所允许的。

我只所以 [0] -A INPUT -s 211.148.130.129 -i eth1 -p tcp -m tcp --dport 3306 -j DROP
是害怕外面的客户端的访问伪装成来自路由器的IP地址(211.148.130.129) 。



别的,您都理解正确。