一些网络中流传的 iptables 脚本的误区

werich

总结问题，解决问题。

好帖，收藏备用。

yszll

支持白金. 支持他的做事态度.

star0395

经典！
收藏！

LnBSD

支持加精，不错的帖子

platinum

少数的发行版本默认的配置是不能自动加载诸如ftp模块的。唉!名字就不说了。
所以加上保险，反正又每什么坏处。

这样的话，应该用“insmod 绝对路径”，如果用 modprobe 的话，还是会提取 /lib/modules/`uname -r`/modules.dep 的

iptables -P INPUT ACCEPT
.....比如说很多行
.....
iptables -P INPUT DROP

那么中间的时间就危险了。虽然时间很短，但危险性是存在的。

至于连接会不会中断，至少ssh有自动恢复的机制。其他的就要和安全性之间作一个权衡。

哦，这里说的主要是调试过程
比如有的人不知道哪个语句报错，整个脚本复制粘贴，到命令行下去执行，就把自己关到外面了

原帖由 乡下猫 于 2006-7-23 02:43 发表
这也原创精华???????自己给自己加?

如果哪位觉得确实没有必要加精的话我可以去掉，我的初衷只是能让更多人关注，更多人了解，更多人知道，更多人不走弯路而已

乡下猫

这也原创精华???????自己给自己加?

maluyao

少数的发行版本默认的配置是不能自动加载诸如ftp模块的。唉!名字就不说了。
所以加上保险，反正又每什么坏处。

缺省策略如果是DROP ,那么写在前面的正确和谨慎的。

假设你的规则是这样的：

1. 
   
2. iptables -P INPUT DROP
   
3. .....比如说很多行
   
4. .....
   

复制代码

万一机器正忙着其他的事情，导致执行此脚本花费的时间较长，那么在这段时间里仍然受到保护。如果写成:

1. 
   
2. iptables -P INPUT ACCEPT
   
3. .....比如说很多行
   
4. .....
   
5. iptables -P INPUT DROP
   

复制代码

那么中间的时间就危险了。虽然时间很短，但危险性是存在的。

至于连接会不会中断，至少ssh有自动恢复的机制。其他的就要和安全性之间作一个权衡。

yuguanglou

模块的加载你可以理解为多余，但是它也有它的好处，这样加载就比较保险了。
LINUX内核驱动模块都是根据自己的依赖关系来加载的，/lib/modules/modules.dep 就是存放这些依赖关系的表，大部分都在这个里面。
但是当你的系统之前没有安装这些个模块 比如 iptable_nat , 当你新安装上去后，可能依赖关系还没有建立起来。一般通过 depmod -ae 来建立。  这个时候你添加上了这个 modprobe iptable_nat 就可以使它工作，而且的话多余这句也不会带来什么坏处，为什么不可以呢？

skylove

原帖由 platinum 于 2006-7-21 21:11 发表

不太清楚
但在我的记忆中，2002 年我用 RH73 的时候已经可以自动挂载了

特意找了个存储过去web的站点，基本上各大站点都可以查到也！

http://web.archive.org/

这个站点可以查到文件在各个时期的版本，比如我用

http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO.txt   （filter用法的how-to的ascii版本）
这个link进行查询
在2002年到目前的版本中，都有个example中是存在的。

1. 
   
2.   The following is a quick example of how to use iptables to queue
   
3.   packets for userspace processing:
   
4. 
   
5. 
   
6.        # modprobe iptable_filter
   
7.        # modprobe ip_queue
   
8.        # iptables -A OUTPUT -p icmp -j QUEUE
   

复制代码

这个是 Apr 01, 2002  的版本： http://web.archive.org/web/20020401040047/http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.txt

这个是当前的版本：  http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO.txt

相信白金查到的一些网络文章，大概也是在02-03年期间写成的（至少原创时期应该是该段时期），那段时期似乎是国内对netfilter/iptables研究最为热情的阶段，国内学术论文中关于iptables的也是相当众多的。

用现在时态看过去，总有诸多事是不合事宜的。。。 比如回想一下 流行服装的变迁，计算机10年来的发展。。。软件的使用方法和说明文档大概也是同样的道理吧。即使现在回头看两三年前在cu的帖子，也不免觉得诸多“误区”，只因时势不同吧。。。几年之后，再来阅读2006年的帖子，未尝不会又出一位新星评价我们现在的技术讨论是“误区”丛丛呢？？ 仅供诸君三思。