请看下这个iptables规则是否有问题?
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10021 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10041 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10042 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
===========
这里好像没先拒绝数据包。。这样过滤是不是不严格
这个是单击来说。好像没涉及到nat转发
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(9)
那可否用我们的格式来写。
替换掉他里面内容??
iptables是从第一条往后开始逐条匹配的,常用的两种情况:
1,默认ACCEPT
xxxx -j DROP
用于比较宽泛的情况,只指定不可以访问哪些
2,默认DROP
xxxx -j ACCEPT
用于比较严格的情况,只指定那些规则可以访问
RedHat 把 INPUT 和 FORWARD 链的数据报引到一起统一操作简直就是胡来
建议不要理解他,没必要去研究
至于是怎么运行的,可以看看/etc/init.d/下的脚本
按我的理解:
*filter表示对应于filter表
前三行应该是配置缺省规则的
第四个应该是自定义链中用来处理输入数据包的
COMMIT表示规则至此为止,开始应用
可以使用
iptables -t filter -L -n
查看实际情况
我也挺感兴趣,请教头上几行和最后一行的语法是什么?好像不能直接用iptables + 每一行执行啊?这个规则是怎么被执行的?
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
……
COMMIT
[ 本帖最后由 iamshiyu 于 2006-8-2 15:39 编辑 ]
人家都已经说明了通过system-config-securitylevel来配置的,我不觉得和我们学习的有什么不同,您细心的看看就可以看懂,只是通过子链,不是通过INPUT、FORWARD、OUTPUT来做,其实本质上是一样的。
上面的规则都是出现在redhat上的。怎么都和我们平常学的写法不同?有点晕。
只是开了upd端口5353、631和tcp端口22、80、21、20、10021、10041、10042其它端口都没有开。