19,612
社区成员
发帖
与我相关
我的任务
分享请哪位帮忙写条防火墙规则,谢谢
实现要求是这样,任何IP的指定端口(比如53),访问服务器(ip:1.2.3.4)的任何端口(可区分udp或者tcp),这样的防火墙规则要怎么写。
需要注意的是这个服务器的所有端口,只对来源IP的53端口有效
需要注意的是这个服务器的所有端口,只对来源IP的53端口有效
...全文
请发表友善的回复…
发表回复
liucy1983 2010-01-26
- 打赏
- 举报
我对他都无语了,设置了
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
是无论如何也PING不通的
他可能是为了安全着想????我是这么猜的
[Quote=引用 16 楼 jamejame 的回复:]
楼主 一开始的意思都没有弄明白! 你能不能ping通 外面的网络? 如果可以 那么下面的语句应该是没有问题的
#iptables -A OUTPUT -i eth0 -p udp --dport 53 -j ACCEPT
#iptables -A OUTPUT -i eth0 -p tcp --dport 80 -j ACCEPT
[/Quote]
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
是无论如何也PING不通的
他可能是为了安全着想????我是这么猜的
[Quote=引用 16 楼 jamejame 的回复:]
楼主 一开始的意思都没有弄明白! 你能不能ping通 外面的网络? 如果可以 那么下面的语句应该是没有问题的
#iptables -A OUTPUT -i eth0 -p udp --dport 53 -j ACCEPT
#iptables -A OUTPUT -i eth0 -p tcp --dport 80 -j ACCEPT
[/Quote]
可乐是我 2010-01-25
- 打赏
- 举报
贴上我的防火墙规则:
ptables-save v1.3.5 on Mon Jan 25 08:29:42 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
# Completed on Mon Jan 25 08:29:42 2010
这样了以后,我不能通过域名访问网站了,因为DNS解析用到的53端口被阻止了,现在就是要开启源53端口到本机UDP的任何端口通过。使域名能正常解析。
ptables-save v1.3.5 on Mon Jan 25 08:29:42 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
# Completed on Mon Jan 25 08:29:42 2010
这样了以后,我不能通过域名访问网站了,因为DNS解析用到的53端口被阻止了,现在就是要开启源53端口到本机UDP的任何端口通过。使域名能正常解析。
liucy1983 2010-01-25
- 打赏
- 举报
简单的说吧,我没看懂
可乐是我 2010-01-25
- 打赏
- 举报
简单的说吧,我的要就就是,INPUT OUTPUT FORWARD全部都DROP了,然后DNS不能解析了,也就是不能用域名访问网站了,现在我要从防火墙开放源53端口到本机的任意UDP端口,一句话概括就是如何才能正常用域名访问网站
wuguanlin 2010-01-25
- 打赏
- 举报
[Quote=引用 2 楼 steptodream 的回复:]
引用 1 楼 jamejame 的回复:
请楼主man 一下 iptables
#iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
这种规则很简单的 !
是啊 这是防火墙最基本的东西了 希望楼主能看看iptables用法
[/Quote]
学习最基本的东西。。。
引用 1 楼 jamejame 的回复:
请楼主man 一下 iptables
#iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
这种规则很简单的 !
是啊 这是防火墙最基本的东西了 希望楼主能看看iptables用法
[/Quote]
学习最基本的东西。。。
liucy1983 2010-01-25
- 打赏
- 举报
我认为你的想法是错的,
1.53是BIND的listen端口,bind服务应该不会主动去用53端口访问别的机器吧
2.难道是你自己写程序用udp 53???这也不符合正常情况了吧,如果不是极特殊情况,最好不要这样
1.53是BIND的listen端口,bind服务应该不会主动去用53端口访问别的机器吧
2.难道是你自己写程序用udp 53???这也不符合正常情况了吧,如果不是极特殊情况,最好不要这样
可乐是我 2010-01-25
- 打赏
- 举报
iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
这样是允许本机的53端口,我要的是任何一个机子的53端口(其实也就是dns ,源端口)访问我服务器的任何一个UDP端口
这样是允许本机的53端口,我要的是任何一个机子的53端口(其实也就是dns ,源端口)访问我服务器的任何一个UDP端口
可乐是我 2010-01-25
- 打赏
- 举报
楼上的 规则不起作用
jamejame 2010-01-25
- 打赏
- 举报
楼主 一开始的意思都没有弄明白! 你能不能ping通 外面的网络? 如果可以 那么下面的语句应该是没有问题的
#iptables -A OUTPUT -i eth0 -p udp --dport 53 -j ACCEPT
#iptables -A OUTPUT -i eth0 -p tcp --dport 80 -j ACCEPT
#iptables -A OUTPUT -i eth0 -p udp --dport 53 -j ACCEPT
#iptables -A OUTPUT -i eth0 -p tcp --dport 80 -j ACCEPT
liucy1983 2010-01-25
- 打赏
- 举报
另外,建议你增强计算机基础知识
liucy1983 2010-01-25
- 打赏
- 举报
把报的错贴上来
可乐是我 2010-01-25
- 打赏
- 举报
[Quote=引用 12 楼 liucy1983 的回复:]
你有一台机器,无论是虚拟机还是物理机,安装了Linux,然后你的IPTables的规则是
iptables-save v1.3.5 on Mon Jan 25 08:29:42 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
# Completed on Mon Jan 25 08:29:42 2010
再然后,你想在你这台Linux上访问网页。
我理解的对吗???
如果是这样的话,应该是要让IPTables允许你的Linux的任何端口访问别的计算机的UDP 53端口,也就是DNS服务,而不是反过来。因为是你的机器主动去访问别人,而不是别人来访问你。
另外,你想要访问网站还需要增加你的机器允许访问别人的TCP 80端口(前提是你要访问的网站的端口是TCP 80),要不然也打不开页面的。
你说我的理解对吗???如果就是这样的话,就需要用下面的命令
#iptables -A OUTPUT -i eth0 -p udp --dport 53 -j ACCEPT
#iptables -A OUTPUT -i eth0 -p tcp --dport 80 -j ACCEPT
或者是你还有什么别的要求?
[/Quote]
就是这样的要求,但是语句按照你这样写报错,不行,网上也找了好多资料 还是不行
你有一台机器,无论是虚拟机还是物理机,安装了Linux,然后你的IPTables的规则是
iptables-save v1.3.5 on Mon Jan 25 08:29:42 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
# Completed on Mon Jan 25 08:29:42 2010
再然后,你想在你这台Linux上访问网页。
我理解的对吗???
如果是这样的话,应该是要让IPTables允许你的Linux的任何端口访问别的计算机的UDP 53端口,也就是DNS服务,而不是反过来。因为是你的机器主动去访问别人,而不是别人来访问你。
另外,你想要访问网站还需要增加你的机器允许访问别人的TCP 80端口(前提是你要访问的网站的端口是TCP 80),要不然也打不开页面的。
你说我的理解对吗???如果就是这样的话,就需要用下面的命令
#iptables -A OUTPUT -i eth0 -p udp --dport 53 -j ACCEPT
#iptables -A OUTPUT -i eth0 -p tcp --dport 80 -j ACCEPT
或者是你还有什么别的要求?
[/Quote]
就是这样的要求,但是语句按照你这样写报错,不行,网上也找了好多资料 还是不行
liucy1983 2010-01-25
- 打赏
- 举报
你有一台机器,无论是虚拟机还是物理机,安装了Linux,然后你的IPTables的规则是
iptables-save v1.3.5 on Mon Jan 25 08:29:42 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
# Completed on Mon Jan 25 08:29:42 2010
再然后,你想在你这台Linux上访问网页。
我理解的对吗???
如果是这样的话,应该是要让IPTables允许你的Linux的任何端口访问别的计算机的UDP 53端口,也就是DNS服务,而不是反过来。因为是你的机器主动去访问别人,而不是别人来访问你。
另外,你想要访问网站还需要增加你的机器允许访问别人的TCP 80端口(前提是你要访问的网站的端口是TCP 80),要不然也打不开页面的。
你说我的理解对吗???如果就是这样的话,就需要用下面的命令
#iptables -A OUTPUT -i eth0 -p udp --dport 53 -j ACCEPT
#iptables -A OUTPUT -i eth0 -p tcp --dport 80 -j ACCEPT
或者是你还有什么别的要求?
iptables-save v1.3.5 on Mon Jan 25 08:29:42 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
# Completed on Mon Jan 25 08:29:42 2010
再然后,你想在你这台Linux上访问网页。
我理解的对吗???
如果是这样的话,应该是要让IPTables允许你的Linux的任何端口访问别的计算机的UDP 53端口,也就是DNS服务,而不是反过来。因为是你的机器主动去访问别人,而不是别人来访问你。
另外,你想要访问网站还需要增加你的机器允许访问别人的TCP 80端口(前提是你要访问的网站的端口是TCP 80),要不然也打不开页面的。
你说我的理解对吗???如果就是这样的话,就需要用下面的命令
#iptables -A OUTPUT -i eth0 -p udp --dport 53 -j ACCEPT
#iptables -A OUTPUT -i eth0 -p tcp --dport 80 -j ACCEPT
或者是你还有什么别的要求?
liucy1983 2010-01-22
- 打赏
- 举报
2楼写错了吧,楼主写的是源端口是53,而不是目的端口。
把dport改成sport就OK
把dport改成sport就OK
jamejame 2010-01-22
- 打赏
- 举报
楼上的哥们看上去很厉害 可以去帮我看看这个问题吗? http://topic.csdn.net/u/20100122/19/714b3775-24a6-466c-9010-ddf4e283aa95.html?60821
steptodream 2010-01-22
- 打赏
- 举报
[Quote=引用 1 楼 jamejame 的回复:]
请楼主man 一下 iptables
#iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
这种规则很简单的 !
[/Quote]
是啊 这是防火墙最基本的东西了 希望楼主能看看iptables用法
请楼主man 一下 iptables
#iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
这种规则很简单的 !
[/Quote]
是啊 这是防火墙最基本的东西了 希望楼主能看看iptables用法
jamejame 2010-01-22
- 打赏
- 举报
请楼主man 一下 iptables
#iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
这种规则很简单的 !
#iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
这种规则很简单的 !
