请看下这个iptables规则是否有问题?

发布于 2022-07-25 07:31:49 字数 1613 浏览 14 评论 9

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10021 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10041 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10042 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
===========
这里好像没先拒绝数据包。。这样过滤是不是不严格
这个是单击来说。好像没涉及到nat转发

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(9

贪了杯 2022-07-26 07:29:43

原帖由 platinum 于 2006-8-2 23:01 发表
RedHat 把 INPUT 和 FORWARD 链的数据报引到一起统一操作简直就是胡来
建议不要理解他,没必要去研究

那可否用我们的格式来写。
替换掉他里面内容??

恬淡成诗 2022-07-26 07:29:43

iptables是从第一条往后开始逐条匹配的,常用的两种情况:
1,默认ACCEPT
xxxx -j DROP
用于比较宽泛的情况,只指定不可以访问哪些
2,默认DROP
xxxx -j ACCEPT
用于比较严格的情况,只指定那些规则可以访问

誰認得朕 2022-07-26 07:28:49

RedHat 把 INPUT 和 FORWARD 链的数据报引到一起统一操作简直就是胡来
建议不要理解他,没必要去研究

七堇年 2022-07-26 07:16:45

至于是怎么运行的,可以看看/etc/init.d/下的脚本

思念绕指尖 2022-07-26 07:12:59

按我的理解:
*filter表示对应于filter表

前三行应该是配置缺省规则的

第四个应该是自定义链中用来处理输入数据包的

COMMIT表示规则至此为止,开始应用

可以使用
iptables -t filter -L -n
查看实际情况

当爱已成负担 2022-07-26 07:12:28

我也挺感兴趣,请教头上几行和最后一行的语法是什么?好像不能直接用iptables + 每一行执行啊?这个规则是怎么被执行的?
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
……
COMMIT

[ 本帖最后由 iamshiyu 于 2006-8-2 15:39 编辑 ]

握住你手 2022-07-26 07:05:46

原帖由 yjd333 于 2006-8-2 15:11 发表
上面的规则都是出现在redhat上的。怎么都和我们平常学的写法不同?有点晕。

人家都已经说明了通过system-config-securitylevel来配置的,我不觉得和我们学习的有什么不同,您细心的看看就可以看懂,只是通过子链,不是通过INPUT、FORWARD、OUTPUT来做,其实本质上是一样的。

岁月打碎记忆 2022-07-26 04:07:31

上面的规则都是出现在redhat上的。怎么都和我们平常学的写法不同?有点晕。

待天淡蓝洁白时 2022-07-26 01:50:25

只是开了upd端口5353、631和tcp端口22、80、21、20、10021、10041、10042其它端口都没有开。

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文