iT邦幫忙

0

CentOS加iptables的問題

請問各位Linux的高手....
此電腦有二塊網路卡
eth0 10.10.0.XX
eth1 60.249.84.XX

請問各位Linux的高手....
此電腦有二塊網路卡
eth0 10.10.0.XX
eth1 60.249.84.XX

我新增了一個firewall.sh和firewall-open.sh

執行後firewall.sh會變成 這台電腦無法上網 ping 168.95.1.1 會time out..且yum安裝軟體也會失敗..
當我再執行firewall-open.sh之後 就可以正常連線了
現在我希望除了eth1的25 110 53 port(不限IP)及一些我信任的IP(不限PORT)開啟外 其餘的INPUT預設是DROP..
請問要再加什麼指令才能讓我的這台電腦防火牆是開啟的且可以上網呢?

2 個回答

6
a115073
iT邦研究生 2 級 ‧ 2011-08-04 14:59:15
最佳解答

iptables -A INPUT -i eth1 -m state --state RELATED,WSTABLISHED -j ACCEPT

↑若是由主機主動連出去的封包都能通過

4
jackwan
iT邦研究生 4 級 ‧ 2011-08-03 17:34:32

#那些服務需開啟請自行修改
#!/bin/sh
INT_IF=eth0 #內網
EXT_IF=eth1 #外網
echo "Cleaning up..."
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
echo "Setting up policies to ACCEPT..."
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

允許相關連結服務

iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 3000 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 3900 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 110 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
iptables -A INPUT -i eth1 -j DROP

感謝各位大大的回答...
但因為另位回答者有把原因寫出來...
這是我比較想知道的...
所以把最佳解答點給他了...
當然你的回答也不錯...只是如果可以加上說明會更好...謝謝你囉

我要發表回答

立即登入回答