- 论坛徽章:
- 4
|
[root@localhost ~]# iptables -L -nv
Chain INPUT (policy ACCEPT 2 packets, 156 bytes)
pkts bytes target prot opt in out source destination
909 62879 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 2 packets, 140 bytes)
pkts bytes target prot opt in out source destination
34 4781 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:22
[root@localhost ~]#
个人理解iptables只是一个工具,用来设置netfilter,ssh运行在用户空间,netfilter在内核空间,访问用户空间首先到达内核空间,这样crt访问linux的ssh时候先通过INPUT dport22 然后到达ssh空间,之后ssh通过sport22 返回到crt。
一,应用在哪个空间,netfilter工作的空间,
二,如何区分核实在INPUT OUTPUT FORWARD链上做设置
三,个人理解netfilter就像两个大门的碉堡,默认都是打开的也就是谁都可以进去,这时只配置dpt22 就相当于碉堡放进去了一只狗,这只狗就看dpt22这个链,如果来了一个22就看看是否满足这个条件,不满足就拒绝,别的不管,为什么不是把大门关了 默认的给拒绝了,然后拿钥匙去开门呢,就像这个OUTPUT,所有出去的都拒绝,但是有spt22这个钥匙的就过的去
|
|