iptables:求解怎样让某节点只能上MSN,其余都不让??

samwang · 发表于 2005-5-23 23:42:56

iptables v1.2.8
我尝试的方法一：
FORWARD链先定义为ACCEPT，然后执行：
iptables -A FORWARD -m mac --mac-source 00.11.43.56.09.85 -j DROP
iptables -A FORWARD -p tcp --dport 1863 -m mac --mac-source 00.11.43.56.09.85 -j ACCEPT
此时iptables -L FORWARD结果为：
Chain FORWARD (policy ACCEPT)
target       prot opt source             destination
ACCEPT    all  -f  anywhere             anywhere          limit: avg 100/sec burst 100
ACCEPT    icmp --  anywhere          anywhere          limit: avg 1/sec burst 10
ACCEPT    tcp  --  anywhere             anywhere          tcp spt:1723
ACCEPT    tcp  --  anywhere             anywhere          tcp dpt:1723
DROP       all  --  anywhere             anywhere          MAC AA.BB.CC.DD.EE.FF
ACCEPT    tcp  --  anywhere             anywhere          tcp dpt:1863 MAC AA.BB.CC.DD.EE.FF

我尝试的方法二：
FORWARD链先定义为ACCEPT，然后执行：
iptables -A FORWARD -p tcp --dport 1:1862 -m mac --mac-source AA.BB.CC.DD.EE.FF -j DROP
iptables -A FORWARD -p tcp --dport 1864:60200 -m mac --mac-source AA.BB.CC.DD.EE.FF -j DROP
iptables -A FORWARD -p tcp --dport 1863 -m mac --mac-source AA.BB.CC.DD.EE.FF -j ACCEPT
此时iptables -L FORWARD结果为：
Chain FORWARD (policy ACCEPT)
target       prot opt source             destination
ACCEPT    all  -f  anywhere             anywhere          limit: avg 100/sec burst 100
ACCEPT    icmp --  anywhere          anywhere          limit: avg 1/sec burst 10
ACCEPT    tcp  --  anywhere             anywhere          tcp spt:1723
ACCEPT    tcp  --  anywhere             anywhere          tcp dpt:1723
DROP       tcp  --  anywhere             anywhere          tcp dpts:tcpmux:1862 MAC AA.BB.CC.DD.EE.FF
DROP       tcp  --  anywhere             anywhere          tcp dpts:1864:60200 MAC AA.BB.CC.DD.EE.FF
ACCEPT    tcp  --  anywhere             anywhere          tcp dpt:1863 MAC AA.BB.CC.DD.EE.FF

以上两种方法AA.BB.CC.DD.EE.FF完全不能上网
为什么达不到目的呢？要达到目的只跟FORWARD链有关吧？跟INPUT,OUTPUT没有关吧？

请教请教！

samwang · 发表于 2005-5-24 11:49:59

顶！没有人回答我么

samwang · 发表于 2005-5-24 23:50:12

再顶,帮帮我呀

Yuri · 发表于 2005-5-27 17:23:53

不仅仅只有一个链阿。其他链呢。INPUT

samwang · 发表于 2005-5-27 19:03:06

Post by genv
不仅仅只有一个链阿。其他链呢。INPUT

谢谢genv的回复!
局域网上MSN应该只关forward链的事吧?发送到网关本身的数据包才定义INPUT链啊?
请教!

我把规则改成了:
iptables -I FORWARD -m mac --mac-source 00.11.43.56.09.85 -j DROP
iptables -A FORWARD -p tcp --dport 1863 -m mac --mac-source 00.11.43.56.09.85 -j ACCEPT
iptables -D FORWARD -p tcp --dport 1863 -m mac --mac-source 00.11.43.56.09.85 -j ACCEPT
iptables -A INPUT -p tcp --dport 1863 -m mac --mac-source 00.11.43.56.09.85 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1863 -m mac --mac-source 00.11.43.56.09.85 -j ACCEPT
iptables -A INPUT -p tcp --sport 1863 -m mac --mac-source 00.11.43.56.09.85 -j ACCEPT
iptables -A FORWARD -p tcp --sport 1863 -m mac --mac-source 00.11.43.56.09.85 -j ACCEPT

可是这样还是上不了MSN.这个节点啥都不能上.
于是乎,我又在下面加了两条语句:
iptables -A INPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
可这样还是啥都不能上.俺彻底搞不弄了.INPUT FORWARD都放开了,怎么还不行呢???

最近被iptables搞得烦死了. :ask :ask :ask

vyouzhi · 发表于 2005-5-28 16:19:27

iptables -A FORWARD -p tcp --dport 1:1862 -m mac --mac-source AA.BB.CC.DD.EE.FF -j DROP
iptables -A FORWARD -p tcp --dport 1864:60200 -m mac --mac-source AA.BB.CC.DD.EE.FF -j DROP
iptables -A FORWARD -p tcp --dport 1863 -m mac --mac-source AA.BB.CC.DD.EE.FF -j ACCEPT

看看这三句
我改为

iptables -A FORWARD -p tcp --dport 1863 -m mac --mac-source AA.BB.CC.DD.EE.FF -j ACCEPT
iptables -A FORWARD -p tcp --dport 1:1862 -m mac --mac-source AA.BB.CC.DD.EE.FF -j DROP
iptables -A FORWARD -p tcp --dport 1864:60200 -m mac --mac-source AA.BB.CC.DD.EE.FF -j DROP

复制代码

		自动登录	找回密码
密码			注册

iptables:求解怎样让某节点只能上MSN,其余都不让??

浏览过的版块