请帮我看下这条命令的具体意思是什么！

bg4ali888999

我的MODEM里总有些可疑的问题。就如这条命令iptables -t nat -A PREROUTING -i br0 -d 192.168.1.1 -p udp --dport 53 -j DNAT --to 128.9.0.107大家帮我看看是什么意思，谢谢！

YES东

实现目标：
利用iptabels给局域网做NAT透明代理，比如网吧或公司企业的上网代理服务器！同时实现了内网WEB服务器的端口映射！并且解决了WEB服务器访问者IP都为代理服务器IP的问题！同时内外网皆可正常通过公网IP访问内网的WEB服务器！
实现目标：
利用iptabels给局域网做NAT透明代理，比如网吧或公司企业的上网代理服务器！同时实现了内网WEB服务器的端口映射！并且解决了WEB服务器访问者IP都为代理服务器IP的问题！同时内外网皆可正常通过公网IP访问内网的WEB服务器！（加了SQUID后还没有成功，努力中！）

软硬件环境如下：
操作系统为 RHEL 4 ，3COM网卡两张，eth0为外网网卡，IP为：221.222.111.10; eth1为内网网卡，IP为：192.168.0.1; 内网WEB服务器IP为：192.168.0.200 。网络环境为：中国电信10M光纤，固定IP！

方法为如下：
首先我注释掉了iptables文件原始的全部内容，然后在iptables文件中写入如下内容！

##################################### Nat段开始 #########################################
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#
#------------------------------ Web Server 端口映射 ------------------------------
# 192.168.0.200 端口80
######################
# 用DNAT作端口映射！注意以下指令一定要在NAT透明代理的前面，否则无效！
-A PREROUTING -i eth1 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80
-A PREROUTING -i eth0 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80
#
#------------------------------ Iptables NAT 透明代理 ------------------------------
#
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j SNAT --to 221.222.111.10
#
COMMIT
##################################### Nat段结束 #########################################

###################################### Filter段开始 #####################################
#
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#
#防止网络上其它计算机使用Ping命令探测本机：
-A INPUT -p icmp --icmp-type echo-request -i eth0 -j DROP
#
# 防止广播包从IP代理服务器进入局域网：
-A INPUT -s 255.255.255.255 -i eth0 -j DROP
-A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP
-A INPUT -d 0.0.0.0 -i eth0 -j DROP
# 屏蔽掉以下的TCP和UDP端口：
-A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP
#
COMMIT
###################################### Filter段结束 #####################################

修改完以上的文件后，再将/etc/sysctl.conf 文件里面修改成 net.ipv4.ip_forward = 1 ，这个很重要，不然NAT代理不能生效的！

然后用#: service iptables restart 这个指令重起iptables 服务！！OK，你再试试看代理服务和WEB能否则正常访问，我想一定可以的！


附：
Web Server 端口映射一定要在 Iptables NAT透明代理指令前面，否则内网用户将无法通过公网IP或域名访问内网的Web服务器！

你看看以上资料吧

bg4ali888999

那就是有人在我的MODEM做了手脚？我可是没有做过，我是家庭用户也不需要透明代理，但是我所有的BCM6338MODEM里都有这条命令，再给你看些日志，你帮我分析分析谢谢！
May 13 20:21:45 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= SRC=116.224.253.112 DST=116.224.216.84 LEN=48
TOS=0x00 PREC=0x00 TTL=125 ID=23786 DF PROTO=TCP SPT=1257 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0  
May 13 20:21:45 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= SRC=61.191.52.95 DST=116.224.216.84 LEN=40
TOS=0x00 PREC=0x00 TTL=109 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0  
May 13 20:21:46 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= SRC=116.224.253.112 DST=116.224.216.84 LEN=48
TOS=0x00 PREC=0x00 TTL=125 ID=24130 DF PROTO=TCP SPT=1257 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0  
May 13 20:24:34 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= SRC=222.245.174.136 DST=116.224.216.84 LEN=48
TOS=0x00 PREC=0x00 TTL=119 ID=37965 DF PROTO=TCP SPT=2457 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0  
May 13 20:24:37 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= SRC=222.245.174.136 DST=116.224.216.84 LEN=48
TOS=0x00 PREC=0x00 TTL=119 ID=38121 DF PROTO=TCP SPT=2457 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0

YES东

你开了upnp功能了吧？

bg4ali888999

没有啊，我把那些功能全都禁用了，我想是一定有人在监视我上网，而且此人可以透过ATM交换机直接和我MODEM通讯我没有拨号，我想目前只有电信内部才能做么做把

YES东

原帖由 bg4ali888999 于 2008-5-14 12:47 发表
没有啊，我把那些功能全都禁用了，我想是一定有人在监视我上网，而且此人可以透过ATM交换机直接和我MODEM通讯我没有拨号，我想目前只有电信内部才能做么做把

你是用内置路由拔号上的吗？还是直接电脑拔号上的？你是什么设备？还有修改了默认的adsl登陆账号密码没有

bg4ali888999

贝尔HA510,ZTE831II,SPEEDTOUCH511E,,是MODEM内置PPPOE拨号，密码都改了三次了