在iptables的filter表中的FORWARD链的使用是配合nat表进行使用的它负责的是对nat表做ip地址转发的规则检查,如果你有用路由转发就要对FORWARD链进行严格管理(nat表的具体使用可看http://jim123.blog.51cto.com/4763600/1842202),以部署过open***的服务器为例(open***部署具体可以看http://jim123.blog.51cto.com/4763600/1840776的相关文章)
成都创新互联从2013年创立,是专业互联网技术服务公司,拥有项目成都做网站、网站制作网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元新郑做网站,已为上家服务,为新郑各地企业和个人服务,联系电话:13518219792
在我们的nat表有做过IP地址转发
*nat :PREROUTING ACCEPT [19:2584] :POSTROUTING ACCEPT [1:92] :OUTPUT ACCEPT [1:92] -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.168.253 COMMIT
那么在filter表中的FORWARD链就要放行2条规则
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -s 192.168.168.0/24 -d 192.168.168.253 -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -i eth0 -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -s 10.8.0.0/24 -i tap0 -j ACCEPT#放行10.8.0.0/24网段的ip -A FORWARD -s 192.168.168.0/24 -i eth0 -j ACCEPT#放行192.168.168.0/24网段的ip -A FORWARD -j REJECT --reject-with icmp-host-prohibited#FORWARD中不在以上规则全部拒绝 -A OUTPUT -m state --state INVALID -j DROP
这里再说下iptables的规则是同一条链里从上到下读取的所以你的规则一定要先把放行的先写好
