关于iptables[已解结］

chenhaolost · 发表于 2009-10-1 20:20:39

关于iptables想问下
iptables -A INPUT -p TCP -i $EXTIF --dport 4665 -j ACCEPT
iptables -A INPUT -p TCP -i $EXTIF --sport 25 -j ACCEPT
中的sport 与 dport是什么意思含义？

搜索到一个帖子说
sport, source port 源端口
dport, destination port 目的端口
但是我想问下
那个源端口指的是什么？

比如gmail
"服务器设置"标签：
服务器类型： POP 邮件服务器
服务器名称： pop.gmail.com
端口： 995
用户名：（您的 Gmail 用户名）
使用安全连接： SSL
将邮件留在服务器上：禁用

"发送邮件服务器 (SMTP)"标签：
服务器名称： smtp.gmail.com
端口： 25
用户名：（您的 Gmail 用户名）
安全连接： TLS（如果可用）

能说下gmail的端口设置应该用sport还是dport?
恩，不是很理解sport，与dport的区别，麻烦解释清除点，用上面的gmail端口解释下谢谢。

wecoh · 发表于 2009-10-1 21:04:40

这个问题同iptables 内的 chain 都有点关联，我给个chain 图你参考一下吧。
在你这问题：
如果你是客户，在 OUTPUT 链，995 和 25 是 dport；
　在 INPUT 链，995 和 25 是 sport。
如果你是 Gmail 服务器，在 OUTPUT 链，995 和 25 是 sport，
　在 INPUT 链，995 和 25 是 dport。

我的理解大约是这样，有不对的地方，还望后来者指正，谢谢 :thank

附iptables中要经过的链（chain）图：

chenhaolost · 发表于 2009-10-1 21:10:45

恩，看了网站发现众说纷纭啊，

两条是不一样的
iptables -A OUTPUT -o eth1 -p udp --dport 53 -j ACCEPT
意思是允许发往外网53端口的包可以通过
iptables -A INPUT -i eth1 -p udp -sport 53 -j ACCEPT
意思是允许外网DNS发的回应包可以进入本机

比如，你想吃份快餐，让机器人出去买，就需要它可以出门，买到快餐后，就必须允许它进门。
缺少任何一个必须，你都不要想吃到！
而端口的限制，就是让机器人必须是买快餐才可以出门，买到的是快餐，才可以进门，买其他的不允许！

chenhaolost · 发表于 2009-10-1 21:36:48

Post by wecoh;2032317
这个问题同iptables 内的 chain 都有点关联，我给个chain 图你参考一下吧。
这儿，如果在 OUTPUT 链的话，995 和 25 是你的 dport。

附iptables中要经过的链（chain）图：

恩，你说output 就是dport那

我想问下tunderbird用的是dport还是sport?
电驴的话是不是就是两个都要呢？既要dport 又要sport?

[
root@linux ~]# mkdir -p /usr/local/virus/iptables
[root@linux ~]# cd /usr/local/virus/iptables
[root@linux iptables]# vi iptables.rule
#!/bin/bash
# 請先輸入您的相關參數，不要輸入錯誤了！
EXTIF="eth1" # 這個是可以連上 Public IP 的網路介面
INIF="eth0" # 內部 LAN 的連接介面；若無請填 ""
INNET="192.168.1.0/24" # 內部 LAN 的網域，若沒有內部 LAN 請設定為 ""
export EXTIF INIF INNET
# 第一部份，針對本機的防火牆設定！###########################
# 1. 先設定好核心的網路功能：
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo "1" > $i
done
for i in /proc/sys/net/ipv4/conf/*/log_martians; do
echo "1" > $i
done
for i in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo "0" > $i
done
for i in /proc/sys/net/ipv4/conf/*/accept_redirects; do
echo "0" > $i
done
for i in /proc/sys/net/ipv4/conf/*/send_redirects; do
echo "0" > $i
done
# 2. 清除規則、設定預設政策及開放 lo 與相關的設定值
PATH=/sbin:/usr/sbin:/bin:/usr/bin; export PATH
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT
# 3. 啟動額外的防火牆 script 模組
if [ -f /usr/local/virus/iptables/iptables.deny ]; then
sh /usr/local/virus/iptables/iptables.deny
fi
if [ -f /usr/local/virus/iptables/iptables.allow ]; then
sh /usr/local/virus/iptables/iptables.allow
fi
if [ -f /usr/local/virus/httpd-err/iptables.http ]; then
sh /usr/local/virus/httpd-err/iptables.http
fi
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# 4. 允許某些類型的 ICMP 封包進入
AICMP="0 3 3/4 4 11 12 14 16 18"
for tyicmp in $AICMP
do
iptables -A INPUT -i $EXTIF -p icmp --icmp-type $tyicmp -j ACCEPT
done
# 5. 允許某些服務的進入，請依照您自己的環境開啟
# iptables -A INPUT -p TCP -i $EXTIF --dport 22 -j ACCEPT # SSH
# iptables -A INPUT -p TCP -i $EXTIF --dport 25 -j ACCEPT # SMTP
# iptables -A INPUT -p UDP -i $EXTIF --sport 53 -j ACCEPT # DNS
# iptables -A INPUT -p TCP -i $EXTIF --sport 53 -j ACCEPT # DNS
# iptables -A INPUT -p TCP -i $EXTIF --dport 80 -j ACCEPT # WWW
# iptables -A INPUT -p TCP -i $EXTIF --dport 110 -j ACCEPT # POP3
# iptables -A INPUT -p TCP -i $EXTIF --dport 443 -j ACCEPT # HTTPS
# 第二部份，針對後端主機的防火牆設定！##############################
# 1. 先載入一些有用的模組
modules="ip_tables iptable_nat ip_nat_ftp ip_nat_irc ip_conntrack
ip_conntrack_ftp ip_conntrack_irc"
for mod in $modules
do
testmod=`lsmod | grep "${mod} "`
if [ "$testmod" == "" ]; then
modprobe $mod
fi
done
# 2. 清除 NAT table 的規則吧！
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
# 3. 開放成為路由器，且為 IP 分享器！
if [ "$INIF" != "" ]; then
iptables -A INPUT -i $INIF -j ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward
if [ "$INNET" != "" ]; then
for innet in $INNET
do
iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE
done
fi
fi
# 如果你的 MSN 一直無法連線，或者是某些網站 OK 某些網站不 OK，
# 可能是 MTU 的問題，那你可以將底下這一行給他取消註解來啟動 MTU 限制範圍
# iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss \
# --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
# 4. 內部伺服器的設定：
# iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 80 \
# -j DNAT --to 192.168.1.210:80

复制代码

上面是鸟哥的一个脚本，
他的一部分中input部分也使用了sport

# 5. 允許某些服務的進入，請依照您自己的環境開啟
# iptables -A INPUT -p TCP -i $EXTIF --dport 22 -j ACCEPT # SSH
# iptables -A INPUT -p TCP -i $EXTIF --dport 25 -j ACCEPT # SMTP
# iptables -A INPUT -p UDP -i $EXTIF --sport 53 -j ACCEPT # DNS
# iptables -A INPUT -p TCP -i $EXTIF --sport 53 -j ACCEPT # DNS
# iptables -A INPUT -p TCP -i $EXTIF --dport 80 -j ACCEPT # WWW
# iptables -A INPUT -p TCP -i $EXTIF --dport 110 -j ACCEPT # POP3
# iptables -A INPUT -p TCP -i $EXTIF --dport 443 -j ACCEPT # HTTPS

复制代码

顺便问下你画图软件是什么？

wecoh · 发表于 2009-10-1 21:52:22

那个图是我以前在网上找的，你可以GG一下 “iptables中DNAT与SNAT的理解”。
我现在没空，最小要2个小时后才回来，我传我一部分的 iptabls 你参考下啦，我那儿都是提供了几个向外服务的端口，一直都正常。

-A INPUT -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 6881:6889 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 6891:6899 -j ACCEPT
-A INPUT -i ppp0 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 3724 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 8085 -j ACCEPT

chenhaolost · 发表于 2009-10-1 22:01:04

Post by wecoh;2032329
那个图是我以前在网上找的，你可以GG一下 “iptables中DNAT与SNAT的理解”。
我现在没空，最小要2个小时后才回来，我传我一部分的 iptabls 你参考下啦，我那儿都是提供了几个向外服务的端口，一直都正常。

恩，谢谢你大概知道了。

		自动登录	找回密码
密码			注册

关于iptables[已解结］

本帖子中包含更多资源

浏览过的版块