论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2007-04-20 20:39 |只看该作者 |倒序浏览

现有一个rhel 5 的机器，双网卡,eth0连内网，eth1连外网。我简单加了几条规则：

[root@www ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Wed Apr 11 20:09:39 2007
*filter
:INPUT DROP [24:936]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [158:16436]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 10.10.148.68 -i eth0 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m multiport --sports 53,123 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
COMMIT

简单地说
我不限制出去的包；
允许10.10.148.68通过eth0连接；
允许来自eth0的访问我的22端口；
允许来自源端口为53和123的连我；
允许icmp协议；
允许内外网连接本机的80和443端口；
对于进入的包，没有匹配的规则就DROP。

加完之后好像没什么问题：

[root@www ~]# iptables -L -nv
Chain INPUT (policy DROP 13 packets, 1404 bytes)
pkts bytes target    prot opt in    out    source             destination
0    0 ACCEPT    all  --  lo    *    0.0.0.0/0          0.0.0.0/0
0    0 ACCEPT    all  --  eth0 *    10.10.148.68       0.0.0.0/0
47  4362 ACCEPT    tcp  --  eth0 *    0.0.0.0/0          0.0.0.0/0          tcp dpt:22
1 145 ACCEPT    udp  --  *    *    0.0.0.0/0          0.0.0.0/0          multiport sports 53,123
0    0 ACCEPT    icmp --  *    *    0.0.0.0/0          0.0.0.0/0
0    0 ACCEPT    tcp  --  *    *    0.0.0.0/0          0.0.0.0/0          multiport dports 80,443

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target    prot opt in    out    source             destination

Chain OUTPUT (policy ACCEPT 55 packets, 6280 bytes)
pkts bytes target    prot opt in    out    source             destination

对于出去的包，默认是允许，对于进入的包，如果不能找到规则，则拒绝。

但是过了几天，再看，发现规则完全变了，见附件。。

重启iptables就好了，这是怎么回事，，难道被攻击了？或者我规则写得自相矛盾？

[ 本帖最后由 chenyajun5 于 2007-4-20 20:46 编辑 ]

aaa.rar

1.45 KB, 下载次数: 41

文库|博客

platinum

广告杀手

论坛徽章:: 0

2楼 [报告]

发表于 2007-04-21 00:02 |只看该作者

好像是某个脚本或程序自动生成的
是不是有谁执行了什么东西，或者什么程序被无意中执行了？

刚刚用 “iptables IN_SANITY” 做关键字搜索，发现了 “APF Firewall” 的字样，楼主是不是研究过这个？
http://forums.theplanet.com/lofiversion/index.php/t50867.html