IPTABLES疑问

非洲乌龟

[root@localhost sysconfig]# iptables -t filter -A INPUT -p tcp --dport 22 -s ! 192.168.1.177 -j ACCEPT
[root@localhost sysconfig]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  -- !192.168.1.177        0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@localhost sysconfig]# /etc/init.d/iptables save
Saving firewall rules to /etc/sysconfig/iptables:          [  OK  ]
[root@localhost sysconfig]# /etc/init.d/iptables restart
Flushing firewall rules:                                   [  OK  ]
Setting chains to policy ACCEPT: filter                    [  OK  ]
Unloading iptables modules:                                [  OK  ]
Applying iptables firewall rules:                          [  OK  ]
Loading additional iptables modules: ip_conntrack_netbios_n[  OK  ]
这样192.168.1.177 这个地址应该不可以访问它的22号端口，但192.168.1.177现在仍然可以，怎么回事？

nagaregawa

你只是说不是177的可以访问，又没有说是177的就不能访问

Mylib

iptables -t filter -A INPUT -p tcp --dport 22 -s 192.168.1.177 -j DROP
这样应该可以

非洲乌龟

回复 3# Mylib


    这样确实可以，按道理“！”也可以。

cyzhu

回复 4# 非洲乌龟


   
这要看你filter这个table的全局策略怎么定义的，如果是“drop all”的话，那你样写也是可以。
可是我看你现在应该是“accept all”。

liyingchunvip

iptables -t filter -P INPUT DROP 就可以了