摩托學園討論區

[訪客]

不知你FORWARD 預設的POLICY是什麼

因為我沒架NAT，目前單純是個人來說
所以我是用INPUT，而預設是DROP

但不管後來設的ACCEPT是什麼
都給我DROP掉.......

唉....頭痛阿...

[Tetralet]

這下更怪了
我把
iptables -P INPUT ACCEPT

然後在

iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT

後面

加上

iptables -A INPUT -i ppp0 -j DROP

這樣應該也是除了進來是 80 port之外的也都擋掉吧

可是，結果還是一樣，全都被擋了???

都是『訪客』，實在搞不清楚誰是誰...

如果是當 Server，
請把

iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT

改成

代碼: 選擇全部

iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

試試看！

[訪客]

如果是當 Server，
請改成
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

唉....
這個我知道
只是我現在是當client端阿......

[Tetralet]

都是訪客兄呢！
不知是不是同一人？

唉....
我把她LOG起來了

代碼: 選擇全部

IN=ppp0 OUT= MAC= SRC=140.116.44.179 DST=210.68.131.41 LEN=52 TOS=0x00 PREC=0x00 TTL=55 ID=39168 DF PROTO=TCP SPT=80 DPT=32983 WINDOW=6480 RES=0x00 ACK FIN URGP=0


sport是80沒錯阿
不過還是被擋下來了....
怪阿~~~~~

如果是出去被擋的話，
LOG 應該是像這個樣子：

代碼: 選擇全部

IN= OUT=ppp0 SRC=61.224.177.208 DST=168.95.1.88 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=31669 DF PROTO=TCP SPT=32804 DPT=80 WINDOW=5808 RES=0x00 SYN URGP=0

所以您的 LOG 看起來很可能是『進來』的封包被擋住了。

建議您在建立 iptables 規則之前，
先用

代碼: 選擇全部

# 清除 iptables 的 rules
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat

把 iptables 的 rules 清掉比較好。

並且，
可否請您把您完整的 iptables 執行命令列出來呢？
這樣子比較好抓問題呀！

[sirius]

拍謝了~~
我我是一開始發問的那個「訪客」...
因為找了一下，站上好像沒有人有問過這問題
所以，我想可能不是什麼大問題
結果沒想到......

現在重新完整的描述一下好了
首先，現在沒有架server，純粹是當作desktop來使用
所以，iptables都是以client的角度來說

以下是我的設定檔

代碼: 選擇全部


modprobe ip_tables

iptables -F
iptables -X
iptables -Z
#-----------------------------
iptables -P INPUT        DROP
iptables -P OUTPUT     ACCEPT
iptables -P FORWARD DROP

# open --------------------------------------------
iptables -A INPUT -i lo   -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp --sport 23 -j ACCEPT

        # msn
iptables -A INPUT -i ppp0 -p tcp --sport 1863 -j ACCEPT


        #yahoo
iptables -A INPUT -i ppp0 -p tcp --sport 5050 -j ACCEPT
#--------------------------------------------------------

所以，以之前那記下來的log來說應該是我連出去之後
server的回應，但我明明有ACCEPT了
但卻還是被擋下來........

不知是我有漏掉的部份還是有設錯的地方
麻煩大家了

[Tetralet]

以下是我的設定檔

代碼: 選擇全部


modprobe ip_tables

iptables -F
iptables -X
iptables -Z
#-----------------------------
iptables -P INPUT        DROP
iptables -P OUTPUT     ACCEPT
iptables -P FORWARD DROP

# open --------------------------------------------
iptables -A INPUT -i lo   -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp --sport 23 -j ACCEPT

        # msn
iptables -A INPUT -i ppp0 -p tcp --sport 1863 -j ACCEPT


        #yahoo
iptables -A INPUT -i ppp0 -p tcp --sport 5050 -j ACCEPT
#--------------------------------------------------------

您的設定檔我試過（一字不漏）是可以正常運作的。
對不起，我也不曉得問題出在哪。

您有試過連 168.95.1.88:80 (www.hinet.net) 或是 216.239.53.99:80 (www.google.com.tw) 嗎？

[阿信]

to sirius

kernel是自己編譯的還是debian包的呢？

[Tetralet]

對了，
我突然想起來，
會不會是 DNS 的問題呢？

因為您並沒有開放 DNS 的 Port 53 呀！



還有，您說您所列的 LOG：

代碼: 選擇全部

IN=ppp0 OUT= MAC= SRC=140.116.44.179 DST=210.68.131.41 LEN=52 TOS=0x00 PREC=0x00 TTL=55 ID=39168 DF PROTO=TCP SPT=80 DPT=32983 WINDOW=6480 RES=0x00 ACK FIN URGP=0

是在 WWW Server 上面抓的，
那表示您的 Client 電腦上的 Port 80 封包是可以傳送出去的！
所以問題可能並不是出在您的 iptables 的命令稿上哦！

請您再測試一下好了。

[sirius]

沒錯，是DNS的關係.....

真是遜掉了....
居然沒考慮到DNS的問題...

原來，DNS是用UDP在傳阿...
不過，我試過

代碼: 選擇全部

iptables -A INPUT -i ppp0 -p all --sport 53 -j ACCEPT
iptables -A INPUT -i ppp0 --sport 53 -j ACCEPT


都是 Unknown arg `--sport' 耶~~
？？
因為之前不知dns是用什麼協定傳的，所以想只要53就accept
結果試不出來，只好一個一個慢慢試....

不管怎樣
謝謝各位了
大家辛苦了~~

[Tetralet]

沒錯，是DNS的關係.....

真是遜掉了....
居然沒考慮到DNS的問題...

能找出問題點那就太好了...

原來，DNS是用UDP在傳阿...
不過，我試過

代碼: 選擇全部

iptables -A INPUT -i ppp0 -p all --sport 53 -j ACCEPT
iptables -A INPUT -i ppp0 --sport 53 -j ACCEPT


都是 Unknown arg `--sport' 耶~~

？？

DNS 嚴格來說應是 TCP/UDP 並用的，
但是 DNS Client 只有用到 UDP 部份。

您不妨試試看：

代碼: 選擇全部

iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT

而『Unknown arg `--sport'』這個錯誤訊息是指您沒有指定 -p 參數。
還有， -p 似乎不接受 all 這個參數唷。

詳情請參考 man iptables。