16
2019
05
00:49:47

iptables的FORWARD链

 在iptables的filter表中的FORWARD链的使用是配合nat表进行使用的它负责的是对nat表做ip地址转发的规则检查,如果你有用路由转发就要对FORWARD链进行严格管理(nat表的具体使用可看http://jim123.blog.51cto.com/4763600/1842202),以部署过open***的服务器为例(open***部署具体可以看http://jim123.blog.51cto.com/4763600/1840776的相关文章)

  在我们的nat表有做过IP地址转发

*nat
:PREROUTING ACCEPT [19:2584]:POSTROUTING ACCEPT [1:92]:OUTPUT ACCEPT [1:92]-A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.168.253 
COMMIT

那么在filter表中的FORWARD链就要放行2条规则

*filter
:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]-A INPUT -s 192.168.168.0/24 -d 192.168.168.253 -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -i eth0 -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -s 10.8.0.0/24 -i tap0 -j ACCEPT#放行10.8.0.0/24网段的ip-A FORWARD -s 192.168.168.0/24 -i eth0 -j ACCEPT#放行192.168.168.0/24网段的ip-A FORWARD -j REJECT --reject-with icmp-host-prohibited#FORWARD中不在以上规则全部拒绝-A OUTPUT -m state --state INVALID -j DROP

这里再说下iptables的规则是同一条链里从上到下读取的所以你的规则一定要先把放行的先写好




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/735.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:技术文章 | 浏览:3334 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: