最近学习IPTABLES,有兴趣者请进来说话,谁是谁非，等你定论(多问题跟贴)

ppsda

能上MSN，QQ或者IRC聊聊吗？

nobody_am

仅能用：
QQ:40195424

nobody_am

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

假设你有个网卡iP 192.168.0.1/24  ，你要ping通自己的主机，
下面你会怎么写规则？

tower

兄弟，iptables 是netfilter.org的产品，为何不看它的howto,reference，非常清楚
为何老跟forward chain 干，iptables 中packets flow 在附图中

在你的制定情况下让ping通
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

tower

关于你的第一个问题，是这样的，
packet进来后，按rules依次判断，一旦match，就执行 -j后面的，不会再比较下一条；如果没有match，就下一条rule，如此循环到比较完所有rules，如果没有可以match的，就要看这个chain的policy：如果 -P ACCEPT，就accept，反之 drop；默认的policy都是accept 。

以上都是man iptables或从netfilter.org上所学，欢迎指正

nobody_am

非常感谢tower的提示，这张图片很不错的。
第一个问题的回答也对，大部分书就是这么讲的。
由于教育网上不了国外网站，所以我很少去找netfiler.org的资料。

空心菜

学习ing...
http://cmpp.linuxforum.net/NetSnake/

nobody_am

windows下用代理可以到：
www.netfilter.org，
但用相同的代理网址，使用galeon却不能上去。
谁有好的http代理？

tower

教育网，我喜欢，电影多啊

nobody_am

目前可以做到一下几个功能：
1.遵守“非请不让进”的原则，所有netfilter的策略全用DROP。
2.灵活控制公网，防火墙，内网之间的ping。
3.IP地址与MAC地址邦定。
4.控制内网使用QQ协议。
5.利用端口映射，实现内网的服务提供给公网。
6.nat方式伪装内网地址。
7.控制ping攻击，syn半连接攻击和碎片攻击。
因为我的内网没法提供有效IP，所以，用内网实实在在的提供服务，中途用放火墙过滤的方式，没法实现。

问题：
1.防火墙还能做什么？请大家列几个出来。
2.怎么才能把有效IP放到内网中(没有路由器，没有桥接设备)？
此问题可参考：http://www.linuxsir.cn/bbs/showt ... d=333435#post333435