网关上的input chain

atuzi

UID: 720
帖子: 38
积分: 87
在线时间: 2 小时

1^# atuzi 发表于 2001-12-26 00:06

网关上的input chain

linux做网关，iptables+伪装，目前我的网关保护得不好，受到攻击。我将网关上INPUT 的 POLICY 改为 DROP, 但这样的话我的网关就不能访问internet了。我的想法是先对INPUT定义drop，再加rules，现在的情况是：我的其他机子可以访问internet，网关上可以ping数字ip，不能ping 名，如不能ping www.yahoo.com 如果将INPUT POLICY 改为 ACCEPT则可以。会不会是少定了一个rule？

我在找一个好的实例，谁看到过这方面的帖子，有牢告我一声。

我的iptables是这样配的：
/sbin/iptables -F
/sbin/ptables -X
/sbin/ptables -t nat -F
/sbin/ptables -t nat -X
/sbin/ptables -P FORWARD DROP
/sbin/ptables -P INPUT DROP
###########################
### FOR LOCALHOST ########
###########################
# Define packets from intranet to localhost ###
/sbin/iptables -A INPUT -s 172.16.50.0/24 -j ACCEPT

# Define packets from internet server to localhost
/sbin/iptables -A INPUT -p tcp -d x.x.x.x/24 --dport ftp -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 0/0 --sport ftp-data -d x.x.x.x -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d x.x.x.x/24 ! --syn -j ACCEPT
/sbin/iptables -A INPUT -p udp -d x.x.x.x/24 -j ACCEPT

# Define fregment rule for localhost
/sbin/iptables -A INPUT -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

# Define icmp rule for localhost
/sbin/iptables -A -INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

####################################
## for FORWARD chain
# 略

　　　　　　

chengle

UID: 15621
帖子: 1
积分: 2
在线时间: 10 分钟

2^# chengle 发表于 2001-12-26 14:58

你有三行不?范?
/sbin/iptables -A INPUT -p tcp -d x.x.x.x/24 --dport ftp -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d x.x.x.x/24 ! --syn -j ACCEPT
/sbin/iptables -A INPUT -p udp -d x.x.x.x/24 -j ACCEPT

你邋在呃一行?
/sbin/iptables -A INPUT -p udp -d x.x.x.x/24 -j ACCEPT
我可以肯定你的咀晷??地址不在上面的呃? x.x.x.x/24 子咀中。
(一?建阻?你可以把-d x.x.x.x/24 改成 -s dnsip你的DNS地址)

你理解呃?INPUT??你帐?在?于INPUT?真╋ -d 呃?啉?有?有意柳?
即使你硬是要真他有意柳的?╋那也只是一肺啉?? -d yourlocalhost .

你真呢?　　　　　　

春花秋月

UID: 3750
帖子: 115
积分: 264
在线时间: 18 小时

3^# 春花秋月发表于 2001-12-26 15:47

我想说说关于攻击!

你除了做gateway还做什么?

不该做的就不做　　　　　　