让人抓狂的iptables防火墙，请指教

yxr2008

我是一个脾气不好的人，linux真他妈的差，不好意思，得罪了很多人。

好了，看看本人安装informix在redhat as 4上面，监听端口1528.

如果关掉防火墙【service iptables stop】，可以轻松连接数据库

如果启动iptables,怎么都连不上，本人添加了如下策略。
iptables -L -n
--------------------------------------------------------------------------
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1528
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:1526
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:1526
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:1528

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited


请高手给本人指点一条出路，否则只好仰天长叹，咱搞不懂linux了

7717060

把防火墙清空了，或
iptables -I INPUT 1 -d ip -p tcp --dport  1528 -j ACCEPT  把1528的端口数据全部放行

aisinisa3217

我只能回答，你要把逻辑搞清楚。，。iptables 的规则逻辑是难的!!!

aisinisa3217

要是都清空，我想LZ也不会来这了，，SF我不知道你怎么想的，

aisinisa3217

还有，LZ希望你把你的iptabes 配置文件，发上来，我们看看，，好做回答

yxr2008

原帖由 7717060 于 2008-10-24 11:22 发表
把防火墙清空了，或
iptables -I INPUT 1 -d ip -p tcp --dport  1528 -j ACCEPT  把1528的端口数据全部放行

在网上找了很多，都说如下可以解决问题，但是都不行
iptables -A INPUT -p tcp -m tcp --dport 1528 -j ACCEPT

大侠的，乃正解
iptables -I INPUT 1 -d ip -p tcp --dport  1528 -j ACCEPT

碰到高人了，结贴感谢！如果能够给小弟解释一下其中缘由，不甚感激

gouxiongmao

原帖由 yxr2008 于 2008-10-24 11:30 发表



在网上找了很多，都说如下可以解决问题，但是都不行
iptables -A INPUT -p tcp -m tcp --dport 1528 -j ACCEPT

大侠的，乃正解
iptables -I INPUT 1 -d ip -p tcp --dport  1528 -j ACCEPT

碰到 ...

很明显你的INPUT里第一列是插的RH-Firewall-1-INPUT，而RH-Firewall-1-INPUT的最后一条是拒绝所有，INPUT的第二条开始才是你开的端口，iptables是按照顺序从第一条执行 到最后一条（即先执行RH-Firewall-1-INPUT里的所有规则，再执行你添加的那几条规则），也就是说你开的端口其实根本没起作用，被RH-Firewall-1-INPUT的最后一条规则阻挡了，而7717060的做法是在INPUT第一的位置（RH-Firewall-1-INPUT的前面）插入放行端口，所以能起作用。这就是原因。。。

[ 本帖最后由 gouxiongmao 于 2008-10-24 12:38 编辑 ]

gouxiongmao

看起来楼主的iptables很菜，因为我本人也比较菜，但是你比我更菜。。。呵呵，开个玩笑。。。
建议楼主关注一下iptables的插入（I）跟添加(A)的区别，还有理解一下iptables的原理，会比较有帮助。。。