請間固定ip與浮動ip在做iptables有什麼不同的地方? 請指教

apc 您好：     這個問題問的很有意思，值得討論，以目前 iptables 的應用上來看， 不外乎是限制「網段」，與限制「服務」兩種，您可以參考「鳥哥的linux私房菜」網站-->linux架站文件-->簡易防火牆 http://linux.vbird.org/，我轉貼一小段(謝謝鳥哥)： 拒絕讓封包進入主機的某些 port ：  這個應該不難瞭解吧！例如您的 port 20-21 這個 FTP 相關的 port ，您只要開放給內部網路的話，所以不對 Internet 開放，那麼當 Internet 來的封包想要進入您的 port 20-21 的話，就可以將該資料封包丟掉！因為我們可以分析的到該封包所帶有的 port 號碼呀！    拒絕讓某些來源 IP 的封包進入：  例如您已經發現某個 IP 主要都是來自攻擊行為的主機，那麼只要來自該 IP 的資料封包，就將他丟棄！這樣也可以達到基礎的安全呦！    拒絕讓帶有某些特殊旗標( flag )的封包進入：  最常拒絕的就是帶有 SYN 的主動連線的旗標了！只要一經發現，嘿嘿！您就可以將該封包丟棄呀！    分析硬體位址(MAC)來提供服務：  如果您的區域網路裡面有比較搗蛋的但是又具有比較高強的網路功力的高手時，如果您使用 IP 來抵擋他使用網路的權限，而他卻懂得反正換一個 IP 就好了，都在同一個網域內嘛！同樣還是在搞破壞～怎麼辦？！沒關係，我們可以鎖死他的網路卡硬體位址啊！因為 MAC 是銲在網路卡上面的，所以您只要分析到該使用者所使用的 MAC 之後，可以利用防火牆將該 MAC 鎖住，呵呵！除非他能夠一換再換他的網路卡來取得新的 MAC，否則換 IP 是沒有用的啦！    再看看 iptables 的語法 iptables -A INPUT -i eth0 -p tcp -s 192.168.0.1 -j ACCEPT 這個指令的意思是來自 192.168.0.1 這個 IP 的封包都予以接受，注意到它用 的 eth0 嗎？不管 eth0 上 bind 的是固定 ip 或是 浮動 ip ，規則都是可以 適用的。 所以我的結論是，若是在本機上防護時，是沒什麼不同的，若是用來架 NAT 或 Proxy 時，可能要再討論，但應該也是沒問題才對；關於這個部份希望有別的 高手指點一二，我也蠻想知道的說。 =========== 努力修行中... ===========

引言: 請間固定ip與浮動ip在做iptables有什麼不同的地方? 請指教

最簡單的說法就是, 使用固定 IP 環境時, 你在設定 iptables 就可以運用該固定 ip 來做設定. 若是使用浮動 IP 環境時, 由於無法確定每次啟動網路介面時的 IP 為何? 所以不可在 iptables 的設定內使用, 因此在設定時要改以網路介面作為設定的依據. 雪龍 http://bestlong.no-ip.com/ 學海無涯覺無盡，勤做筆記防失憶 發表人 - bestlong 於 2005/03/28 11:43:25 發表人 - bestlong 於 2005/03/28 11:43:55

謝謝兩位大大的回答.請教bestlong大大 以網路介面作為設定的依據是如何設? eth0 用0.0.0.0? 請指教.......

引言: 謝謝兩位大大的回答.請教bestlong大大 以網路介面作為設定的依據是如何設? eth0 用0.0.0.0? 請指教.......

與介面相關的參數有 -i -o 兩個, 節錄部份 man iptables 說明如下: -i, --in-interface [!] name Name of an interface via which a packet is going to be received (only for packets entering the INPUT, FORWARD and PREROUTING chains). When the "!" argument is used before the interface name, the sense is inverted. If the interface name ends in a " ", then any interface which begins with this name will match. If this option is omitted, any interface name will match. -o, --out-interface [!] name Name of an interface via which a packet is going to be sent (for packets entering the FORWARD, OUTPUT and POSTROUTING chains). When the "!" argument is used before the interface name, the sense is inverted. If the interface name ends in a " ", then any interface which begins with this name will match. If this option is omitted, any interface name will match. 其實市面上已經有中文的書專門說明 iptables 了, 建議可以去翻閱看看. 雪龍 http://bestlong.no-ip.com/ 學海無涯覺無盡，勤做筆記防失憶

應該不只是這些問題...不知有大大試過?

引言: 應該不只是這些問題...不知有大大試過?

怎麼說呢? 可否把問題再說清楚些. 雪龍 http://bestlong.no-ip.com/ 學海無涯覺無盡，勤做筆記防失憶 發表人 - bestlong 於 2005/04/06 22:02:51

以前用浮动ip時會因isp的斷線而導致重連.而在ppp0播接的時侯会因ppp0的ip未定而導致routing table無法建立. 強制的建立routing table等到撥接出去,看似連線了但外面卻ping不進來. 所以想参考一下.不知有哪位大大有設定檔? 先謝謝了.

引言: 以前用浮动ip時會因isp的斷線而導致重連.而在ppp0播接的時侯会因ppp0的ip未定而導致routing table無法建立. 強制的建立routing table等到撥接出去,看似連線了但外面卻ping不進來. 所以想参考一下.不知有哪位大大有設定檔? 先謝謝了.

這樣的狀況已經與問題不同方向, 建議重開發問. 再簡單的說明一下, iptable 的功能簡單的說就是處理防火牆的機制. 你現在的問題是網路設定方面的問題, 建議可以先將 iptable 的功能關閉來測試, 不過因為同時直接連接網際網路可能會有被入侵的風險. 另外也要說明清楚你所用的連線機制, 浮動ip 有撥接取得也有 DHCP 取得. Linux 的版本為何? 你如何安裝的? 你目前的設定程序為何? 這樣才好分析問題重點. 雪龍 http://bestlong.no-ip.com/ 學海無涯覺無盡，勤做筆記防失憶

前一陣子買了「鳥哥的linux私房菜」， 用了一個假日架了 Linux Server。主要的目的是作 NAT。 ISP也是浮動ip，透過二塊網卡再把書中的 Scrip 抄下來就可以了。詳細情形已經忘記了。因為後來用 IP 分享器也可以很簡單的設定，比用Linux 方便多了，除非想要練功力，就要多看看書囉。