platinum 和 熟悉iptables的 进一下 问一下简单的问题

chenyangbo

首先
我只执行下面这样访问网络会不会有问题

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
   
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

#请问上面的四条
#如果这台机子没有bind那我应该只用其中的2条，还是必须四条都用上访问网络才会正常
#如果这台机子装有bind，那又要怎么改呢

采风

这样写不行，找个iptables-HOWTO好好看一遍

platinum

原帖由 采风 于 2006-7-13 12:44 发表
这样写不行，找个iptables-HOWTO好好看一遍

你终于复活了！

chenyangbo

为什么不行
难道必须加上条才行？？
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
但是
我在centos 4.3 条件下
iptables -I INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
这样就可以访问网络，那
我有必要打开这四条吗
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

采风

原帖由 platinum 于 2006-7-13 12:46 发表

你终于复活了！

platinum

原帖由 chenyangbo 于 2006-7-13 12:54 发表
为什么不行
难道必须加上条才行？？
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
但是
我在centos 4.3 条件下
iptables -I INPUT DROP
iptables -A INPUT -m state --state ESTABLI ...

一句两句说不清，感觉你概念很不清楚，建议先去看手册

kenduest

原帖由 chenyangbo 于 2006-7-13 12:54 发表
为什么不行
难道必须加上条才行？？
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

因为 tcp/ip 是双向的，有连线就会有回应。

找本 tcp/ip 的书都会谈到这个，也建议学 firewall 时要先对 tcp/ip 有基本认知。

我在centos 4.3 条件下
iptables -I INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
这样就可以访问网络，那
我有必要打开这四条吗
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

应该要问你的是，你打算要做啥呢？开放外面可以连结存取该 dns 查询服务？那你只是需要开 dport 即可。

==

chenyangbo

谢谢各位

TCP/IP 我是不太明白