当前位置:Linux教程 - Linux文化 - iptables的FORWARD默认为DROP后,加入ACCEPT规则后也不能包转发

iptables的FORWARD默认为DROP后,加入ACCEPT规则后也不能包转发


>>> 此贴的回复 >> 数据包是有去有回的 能不能转发,要看你是如何在 -P DROP 的情况下 -j ACCEPT 的了

>>> 此贴的回复 >> 谢谢你,帮我看下规则: iptables -F iptables -P FORWARD DROP iptables -I FORWARD -p tcp -m connlimit --connlimit-above 10 -j DROP iptables -I FORWARD -p udp -m connlimit --connlimit-above 2 -j DROP iptables -I FORWARD -s 192.168.10.0/24 -j ACCEPT 就这样的,但是不能路由了,而当改成iptables -P FORWARD ACCEPT时就能路由

>>> 此贴的回复 >> 因为 TCP/IP 是双向的,所以这样就是回应时被阻挡。所以要考虑:

CODE:[Copy to clipboard]iptables -P FORWARD DROP iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT 另外也许在 ftp 环境可能要搭配 ip_conntrack_ftp 挂入,可能会是:

CODE:[Copy to clipboard]iptables -P FORWARD DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT 这些提供参考。

>>> 此贴的回复 >> 还有一个问题 connlimit 只支持 tcp 协议

QUOTE: connlimit v1.3.5 options: [!] --connlimit-above n match if the number of existing tcp connections is (not) above n --connlimit-mask n group hosts using mask