摩托學園討論區

[訪客]

如題...
只是個人用的陽春防火牆

平常看到的都是對內的都是擋掉
然後再開放特定的

若是server那當然有特定port
不過，現在當desktop用....
port是不固定的...
這樣要怎麼設阿...

謝謝

[d2207197]

port 不固定是什麼意思阿？？

任何軟體使用任何通訊協定都會有固定的 port 吧

[訪客]

port 不固定是什麼意思阿？？

任何軟體使用任何通訊協定都會有固定的 port 吧

port固定的是server端吧
像www連出去時，server端是80

可是我們client就是隨便找一個port送出去的吧

所以，在我們client來說，是不固定的吧

[訪客]

client是不固定沒錯，但只要設destination port就好了啊...
iptables -A FORWARD -o ppp0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i ppp0 -P tcp --sport 80 -j ACCEPT

[阿信]

既然不固定...那請問怎麼檔呢???

比較建議可以利用iptables擋住一些特定軟體:nmap掃port

也可以看sysctl中的一些ipv4的設定,比如不讓其他pc ping等...

[訪客]

對後~~~~
笨笨的....

對了，像gaim裡用msn或yahoo的協定的話

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:5050
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:1863
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:23
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80

我有加入ACCEPT了說
可是感覺上好像就被擋掉了

而我現在mozilla卻好好的？？

[訪客]

事情大條了~~

剛試了一下

原來都不行....

不管mozilla，還是gaim....

我的設定檔：

代碼: 選擇全部

iptables -P INPUT   ACCEPT
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD DROP

# open --------------------------------------------
iptables -A INPUT -i lo   -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp --sport 23 -j ACCEPT

        # msn
iptables -A INPUT -i ppp0 -p tcp --sport 1863 -j ACCEPT


        #yahoo
iptables -A INPUT -i ppp0 -p tcp --sport 5050 -j ACCEPT
#--------------------------------------------------------

iptables -L -n

代碼: 選擇全部

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:23
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:1863
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:5050

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[訪客]

拍謝...

不是
iptables -P INPUT ACCEPT

是
iptables -P INPUT DROP

預設是drop
只有80、23 、1863、5050 才通過

可是居然全擋了...
這樣設有錯嗎？？

[louie]

那 OUTPUT 呢, 也是 DROP 嗎 ?

[訪客]

那 OUTPUT 呢, 也是 DROP 嗎 ?

沒有
iptables -P OUTPUT ACCEPT

OUTPUT預設是ACCEPT...

所以應該是要進來時被擋的...
可是我已經讓80、23 、1863、5050 通過了阿....

[訪客]

對了，會跟NAT有關嗎？

因為我沒架NAT，所以只有modprobe ip_tables
還是少掛了什麼module

[訪客]

唉....
我把她LOG起來了

代碼: 選擇全部

IN=ppp0 OUT= MAC= SRC=140.116.44.179 DST=210.68.131.41 LEN=52 TOS=0x00 PREC=0x00 TTL=55 ID=39168 DF PROTO=TCP SPT=80 DPT=32983 WINDOW=6480 RES=0x00 ACK FIN URGP=0


sport是80沒錯阿
不過還是被擋下來了....
怪阿~~~~~

[訪客]

這下更怪了
我把
iptables -P INPUT ACCEPT

然後在

iptables -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT

後面

加上

iptables -A INPUT -i ppp0 -j DROP

這樣應該也是除了進來是 80 port之外的也都擋掉吧

可是，結果還是一樣，全都被擋了???

[訪客]

唉.......

我用過學長的redhat試
結果一樣

我同學用他的slackware試
結果可以

不知現在是什麼情形......

[訪客]

唉.......

我用過學長的redhat試
結果一樣

我同學用他的slackware試
結果可以

不知現在是什麼情形......

我是用NAT啦，試成這樣沒有問題：
# MSN Messager
iptables -A FORWARD -p tcp -o ppp0 --dport 1863 -j ACCEPT
iptables -A FORWARD -p tcp -i ppp0 --sport 1863 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 5190 -j ACCEPT
iptables -A FORWARD -p tcp -i ppp0 --sport 5190 -j ACCEPT

# MSN Messager, enable File send
iptables -A FORWARD -p tcp -o ppp0 --dport 6891:6900 -j ACCEPT
iptables -A FORWARD -p tcp -i ppp0 --sport 6891:6900 -j ACCEPT

# MSN Messager, enable voice communications
iptables -A FORWARD -p tcp -o ppp0 --dport 6901 -j ACCEPT
iptables -A FORWARD -p udp -o ppp0 --dport 6901 -j ACCEPT
iptables -A FORWARD -p tcp -i ppp0 --sport 6901 -j ACCEPT
iptables -A FORWARD -p udp -i ppp0 --sport 6901 -j ACCEPT

# Yahoo Messager Chat
iptables -A FORWARD -p tcp -o ppp0 --dport 5000:5001 -j ACCEPT
iptables -A FORWARD -p tcp -i ppp0 --sport 5000:5001 -j ACCEPT

# Yahoo Messager Phone
iptables -A FORWARD -p udp -o ppp0 --dport 5055 -j ACCEPT
iptables -A FORWARD -p udp -i ppp0 --sport 5055 -j ACCEPT