CentOS5.2 iptables奇怪问题

wan_gjie

服务器有2块网卡，eth0:192.168.78.10   eth1:192.168.77.10
设置服务器防火墙如下：
iptables -F
iptables -P INPUT    DROP
iptables -P OUTPUT   DROP
iptables -P FORWARD  DROP

iptables -I OUTPUT -p tcp  -j ACCEPT
iptables -I INPUT  -p icmp -j ACCEPT
iptables -I OUTPUT -p icmp -j ACCEPT

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

iptables -I INPUT -i eth1 -p tcp --dport 80 -j DROP
这样设置后，还是能够通过eth1还是能够访问服务器的80端口，即http://192.168.77.10,为什么呢？
iptables -vnL结果如下：
[root@localhost ~]# iptables -vnL
Chain INPUT (policy DROP 3 packets, 118 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  177 15296 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 60 packets, 90000 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
  198 37688 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
[root@localhost ~]# iptables -vnL
Chain INPUT (policy DROP 5 packets, 184 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
  191 16360 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 60 packets, 90000 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
  218 40536 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0

dn833

我觉得吧，只要匹配了这条就应该能访问http://192.168.77.10
iptables -I INPUT -p tcp --dport 80 -j ACCEPT

wzypunk

数据包不是通过eth1进来的

vermouth

iptables -I INPUT -i eth1 -p tcp --dport 80 -j DROP
这条是不让外部访问你的 80 tcp

somingxu

好像默认设置了DROP ，在该规则下做的DROP是不生效的，只对ACCEPT生效的！

jerryjzm

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

iptables -I INPUT -i eth1 -p tcp --dport 80 -j DROP

从这两条看，你是要限制从eth1口进来到80端口的
将这两天的顺序调换一下，逻辑就清楚了。不然满足了上面的策略。下面的策略就到不了了。

taojie2000

顶 5楼的  你默认是DROP了  再DROP 有啥用!

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

何况设置了 允许访问你80口了!

wan_gjie

谢谢大家了 如果默认是DROP  那设置的DROP就不生效了

vermouth

回复 9# wan_gjie

天，一年多还记得回复啊

没有换成默认允许看看？