关于iptable菜鸟问题

xiweihua · 发表于 2003-4-10 10:57:48

我在有的文章上看到做IP伪装的语句：iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MSQUERADE 和iptables -t nat POSTROUTING -o eht0 -s 192.168.0.0/24 -j SNAT --to-source 192.168.0.1 有什么区别呢

doooom · 发表于 2003-4-10 12:17:56

一个是你主机的ip可以变化。一个只能是192.168.0.1

dsj · 发表于 2003-4-10 12:18:06

iptables -t nat POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source 192.168.0.1
这语句指把网段192.168.0.0/24 伪装成 192.168.0.1，然后通过eth0上网

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MSQUERADE
这语句指打开IP伪装能力，从eth0出去的包被重写源地址后伪装出去，是源地址SNAT的特例。

第一个主要用于静态IP,第二个用于动态IP

doooom · 发表于 2003-4-10 12:19:53

hehe 斑竹和我在同一个时间发了帖子

dsj · 发表于 2003-4-10 12:39:34

呵呵，还是老兄的简单明了！

xiweihua · 发表于 2003-4-10 17:02:06

是不是两条都可以用来伪装IP来上网呢？一个是注重静态IP，一个注重动态IP对吗

xiweihua · 发表于 2003-4-11 09:28:07

我昨天回去在机器上试了一下，我的设置如下：
iptables -P INPUT -j DROP
iptables -P OUTPUT -j DROP
iptables -P FORWARD -j DROP
我默认的都是全啊丢弃的，
然后我想打开自己的TELNET　。所以加了一句
iptables -A OUTPUT -0 eth0 -p tcp -s 192.168.0.2 --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 23 -d 192.168.0.2 --dport 1024:65535 -j ACCEPT
但我用TELNET还是登不上去。
我又加了一句　iptables -A INPUT -i lo -j ACCEPT
            iptables -A OUTPUT -O lo -j ACCEPT
            iptables -A INPUT -i eth0 -j ACCEPT
            iptables -A OUTPUT -O eth0 -j ACCEPT
            iptables -A FORWARD -i etho -j ACCETP
            iptables -A FORWARD -O etho -j ACCETP
加上去以后，我到是可以用TELNET了，但是像FTP，SSH等也都可以访问了，我应该用什么方法可以限制我只可以TELNET登录上来，其它服务都不能用呢

		自动登录	找回密码
密码			注册