IPTABLES的问题

zhangbo717

[root@ftpserver root]# iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Lokkit-0-50-INPUT  all  --  anywhere             anywhere
DROP       tcp  --  192.168.67.37        anywhere           tcp dpt:ftp
DROP       all  --  192.168.67.37        anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Lokkit-0-50-INPUT  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Lokkit-0-50-INPUT (2 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ftp flags:SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:telnet flags:SYN,RST,ACK/SYN
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
REJECT     tcp  --  anywhere             anywhere           tcp dpts:0:1023 flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere           tcp dpt:nfs flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT     udp  --  anywhere             anywhere           udp dpts:0:1023 reject-with icmp-port-unreachable
REJECT     udp  --  anywhere             anywhere           udp dpt:nfs reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere           tcp dpts11:6009 flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable
REJECT     tcp  --  anywhere             anywhere           tcp dptfs flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable


为什么192.168.67.37那台机器还可以PING通这台机器呢??

zhangbo717

有没有人帮助我.谢谢呀

virtuaboy

前面DROP了，后面又允许了，不知道是不是这样理解的。

zhangbo717

后面那些规则怎么编辑呢?

zhangbo717

在线等....
是不是我的IPTABLES版本太老了呢

platinum

ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

你不是有两条都是允许任何人访问你的任何信息吗，而再之前也没有什么 DROP 的地方，所以当然能 ping 通了

建议自己写 script，把一句一句都写里面
或者 iptables-save > iptables.cfg，然后 vi iptables.cfg 编辑，之后 iptables-restore < iptables.cfg

virtuaboy

脚本贴出来看

zhangbo717

谢谢版主,

virtuaboy

原帖由 platinum 于 2005-11-4 22:14 发表
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

你不是有两条都是允许任何人访问你的任何信息吗，而再之前也没有什么 DROP 的地方，所以当然能 ping ...

DROP       all  --  192.168.67.37        anywhere

这算不算？

platinum

原帖由 virtuaboy 于 2005-11-4 22:24 发表


DROP       all  --  192.168.67.37        anywhere

这算不算？

RH-Lokkit-0-50-INPUT  all  --  anywhere             anywhere
DROP       tcp  --  192.168.67.37        anywhere           tcp dpt:ftp
DROP       all  --  192.168.67.37        anywhere
注意顺序，DROP 之前的任何东西都被先转到 RH-Lokkit-0-50-INPUT 链了

而 RH-Lokkit-0-50-INPUT 一上来就是下面这些信息
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ftp flags:SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ssh flags:SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:telnet flags:SYN,RST,ACK/SYN
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

其实这是一个非常简单的逻辑顺序问题，自己要清楚数据包进入 netfilter 框架后是如何经过各个规则的，如何遍历的