@ob .........是你写的net.ipv4.conf.default.accept_source_route = 0 改成1就好了

@ob 上不了网是因为你dns设的8.8.8.8 连不上 我给你改114.114.114.114

@ob 我现在就在你VPN上，但是问题是连上之后要不断的ping 10.10.0.1，不然的话索性就没数据可以过了，很奇怪，不知道你还改过什么其他的没

@ob 你sysctl禁用了很多不该禁用东西

@ob 现在在你的VPN上回复，应该没问题，重新帮你把别的服务写进iptables里去

@ob 我登上去重写一下 iptables 脚本放~/

DDOS怎么防？ 只能花钱搞CDN

朝外世界Booter已经热了好几年了，朝内刚开始没多久。美其名曰“网站测试”，其实就是付费DDOS攻击服务，按时间计费。

@ob 我用你guest的pptp账户登录了一下 在iPhone上登录，上网没问题
说明后来的iptables的修改已经OK了，我估计问题出在你的localip remoteip的设置，可能和你本地的网络冲突了 我建议你改成10.10.10.0网段的地址

http://i.imgur.com/asrKPAM.png

@ob 没问题，稍晚一点再帮你看，现在有点事

@ob [email protected]

@ob -j LOG写过之后看看LOG VPN配置没问题的,但是建议你改掉地址，改成例如10.10.10.0/24的地址，防止和你本地LAN冲突 路由冲突的话都不知道怎么走

你80到8080的转发的那些规则把简单的事情复杂化了

以下是最简单的pptp的iptables规则，我从我机器上拉下来改了改
建议你先测试完PPTP再去写tomcat的规则

iptables -F
iptables -X
iptables -Z
iptables -F --table nat
#################################################
#
# MSQUERADE
#
#################################################
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j MASQUERADE

#################################################
#
# Allow Interfaces and Ports
#
#################################################

#################Allow lo########################
iptables -A INPUT -i lo -j ACCEPT

###################SSH###########################
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -j ACCEPT

###################DNS###########################
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

###################ICMP##########################
###Uncomment for testing
iptables -A INPUT -p icmp -j ACCEPT

###################PPTP#######################
iptables -A INPUT -i eth1 -p tcp --sport 1723 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT

###################Output HTTP request###########
iptables -A INPUT -i eth1 -p tcp --sport 80 -j ACCEPT



############DROP Other on eth1###################
iptables -A INPUT -i eth1 -j LOG --log-prefix="=DROP-"
iptables -A INPUT -i eth1 -j DROP

@sharebox 我的意思是啥你真没明白，我的意思是楼主不是Lawmaker，要么认命，要么偷偷搭梯子，要么牛逼成为Lawmaker，要么和香港学生一样去Occupy个什么大马路弄点声音出来。不要一个“慎用”好像上帝审视人间一样提醒世人。我们都明白，比你明白我的“论调”还要明白。其实我一直是调侃的“论调”，既然你这么较真，我只能这么直白的“议论”一下，本来轻松的基调就完全不一样了，好像我在指责楼主，可能我真不会玩儿幽默，要么我的幽默太低级不能传给别人，可能念书太少，需要回去再多看看大学语文。

@ob 把你reject或者drop的规则改成log的就能看什么包被丢了
iptables -A XXXXX(Chain name) -p tcp -j LOG --log-prefix "WHY-DROP?"

@ob 晕，以为你8080做的是cache，你这样当然不能访问外部web

你应该区分一下-i ppp+进来的80和443和-i eth1进来的tomcat的感兴趣流量，

-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080

@sharebox 我为我的回复令你无法理解深感抱歉

运通卡送了会员资格，还没注册还不知道怎么用的说

@woyao 深粉红色表示普遍审查的国家地区 绿色表示很少或没有审查的国家地区 淡粉红色表示较强审查的国家地区 淡黄色表示选择性审查的国家地区 深黄色表示审查制度正在改变的国家地区

@sharebox 哈哈 月经帖月经回复

另外，那些抱怨自己ISP丢包厉害的同学，去MIIT投诉可能比抱怨GFW来的有意义。

chinatcc.org.cn