iptables规则的顺序问题

nettx

在iptables中,,
1.   iptables -A INPUT -p ALL -i eth1 -s 192.168.2.0/24 -j ACCEPT
2.   iptables -A INPUT -p icmp -d 192.168.2.0/24 -m limit --limit 1/s --limit-burst 10 -j ACCEPT
3.   iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 --connlimit-mask 24 -j REJECT
4.   iptables -A INPUT -p ALL -d 122.0.191.15 -m state --state ESTABLISHED,RELATED -j ACCEPT
在上面的iptables中,,我把第2和第3句放到第1句的前面,,,不知道句子的顺序不一样之后起的效果是不是也不一样,,还是没有变化呢..请各位朋友指点一下...






1  iptables -A FORWARD -i eth1 -j ACCEPT
2  iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
3  iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
4 iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/minute  --limit-burst 10  -j ACCEPT
5  iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
6  iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP  
7  iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
8  iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
把第1句放到第7句之后,,效果有没有起变化呢.....

xiaoqi8866

原帖由 nettx 于 2007-5-16 21:49 发表于 1楼  
1  iptables -A FORWARD -i eth1 -j ACCEPT
2  iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
3  iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
4 iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/minute  --limit-burst 10  -j ACCEPT
5  iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
6  iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP  
7  iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
8  iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
把第1句放到第7句之后,,效果有没有起变化呢.....

如果象 你 这样的话  从第2句 开始 一下都 没用了

因为 第一 句 已经 匹配 所有了

nettx

就是说要把第1句放到第7句下面,对吗?

platinum

原帖由 xiaoqi8866 于 2007-5-17 08:49 发表于 2楼  


如果象 你 这样的话  从第2句 开始 一下都 没用了

因为 第一 句 已经 匹配 所有了

也不是，回来的包还是有可能会受到 5、6、7 的匹配的

nettx

那2、3、4、句就不起作用了吗？。。。。

platinum

又是 -A 又是 -I 的，自己先要弄清在系统中最后的顺序是什么，用 iptables-save 来看
你输入的东西只是全部的一部分，建议你还是贴出 iptables-save 的内容看看再说

另外，关于 limit 模块你有误解，请看我置顶的 PPT

xiaoqi8866

原帖由 platinum 于 2007-5-17 13:11 发表于 4楼  

也不是，回来的包还是有可能会受到 5、6、7 的匹配的

忽律了    决绝优先。

xiaoqi8866

原帖由 nettx 于 2007-5-16 21:49 发表于 1楼  
在iptables中,,
1.   iptables -A INPUT -p ALL -i eth1 -s 192.168.2.0/24 -j ACCEPT
2.   iptables -A INPUT -p icmp -d 192.168.2.0/24 -m limit --limit 1/s --limit-burst 10 -j ACCEPT
3.   iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 --connlimit-mask 24 -j REJECT
4.   iptables -A INPUT -p ALL -d 122.0.191.15 -m state --state ESTABLISHED,RELATED -j ACCEPT
在上面的iptables中,,我把第2和第3句放到第1句的前面,,,不知道句子的顺序不一样之后起的效果是不是也不一样,,还是没有变化呢..请各位朋友指点一下...

我给LZ 提你建议啊。你应该你看看 firewall 的工作原理。

把第2和第3句放到第1句的前面  假如你有ICMP 的时候 和 SYN  的时候 就会 匹配 2 和 3   

如果 不把 2 3 放到 1  前面  那么就直接 匹配 1 而 不 匹配 2 和 3   也就是说 1 下面的  规则都没用上。

加上一句啊   前提条件是  4 条 规则都走 eth1 这口。

1  iptables -A FORWARD -i eth1 -j ACCEPT
2  iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
3  iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
4 iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/minute  --limit-burst 10  -j ACCEPT
5  iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
6  iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP  
7  iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
8  iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
把第1句放到第7句之后,,效果有没有起变化呢.....

优先匹配DROP  把第1句放到第7句之后 你第8 条 规则 就  没用上了 。

前提条件是  4 条 规则都走 eth1 这口。



回答有不对的 地方 楼下 帮  纠正 。 谢谢 。

nettx

楼上说得我觉得有得道理。。。

nettx

另外，关于 limit 模块你有误解，请看我置顶的 PPT
这部分我看过了。。可能是我底子弱吧。。还未能体会。。