Chinaunix

标题: linux下iptables配置 [打印本页]

作者: linuxpjl 时间: 2009-09-14 15:07
标题: linux下iptables配置
大家好，\r\n\r\n我在redhat 安装了 tomcat oracle等，并在tomcat上运行了一个j2ee服务，\r\n\r\n操作系统的iptables 配置如下：\r\n\r\n Chain INPUT (policy DROP)\r\ntarget prot opt source destination\r\nACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80\r\nACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22\r\nACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080\r\nACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139\r\nACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:445\r\nACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137\r\nACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138\r\nACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1521\r\n\r\nChain FORWARD (policy DROP)\r\ntarget prot opt source destination\r\n\r\nChain OUTPUT (policy ACCEPT)\r\ntarget prot opt source destination\r\nDROP icmp -- 0.0.0.0/0 0.0.0.0/0\r\n\r\n\r\n在请求该服务器上的一个服务 (http://xxx.xxx:8080/login.jsp)时，浏览器没有返回任何信息，也没有报错。\r\n\r\n当把iptables 停掉后，该服务就正常了。\r\n\r\n我用sniffer查看过，客户端发起该请求时只用了8080端口。\r\n\r\n我想知道是否有什么方法可以查看某一个请求所需的端口，这样才能配置出防火墙。\r\n\r\n谢谢大家的指点和帮助。

作者: chenyx 时间: 2009-09-15 10:21
-A FORWARD-m state --state ESTABLISHED,RELATED -j ACCEPT

作者: linuxpjl 时间: 2009-09-15 11:27
谢谢 chenyx 的帮助和指点。\r\n\r\n我应用iptables的linux服务器只用作 j2ee的服务器，不做网关，也没有开启 nat 什么的，\r\n\r\n我不明白为什么要开启 forward，您能给多指点一下吗，谢谢。

作者: h101com 时间: 2009-09-15 12:20
理解下，INPUT FORWARD OUTPUT之间的关系．filter包含的是 INPUT,OUTPUT , FORWARD 链,而nat包含的是 PREROUTING、OUTPUT 和 POSTROUTING 链

作者: chenyx 时间: 2009-09-15 13:59
标题: 回复 #3 linuxpjl 的帖子
看看iptables的流程图吧\n\n[ 本帖最后由 chenyx 于 2009-9-15 14:02 编辑 ]

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)