向 platinum请教一个iptables 的问题。

一个小人物

原帖由 "platinum" 发表：

你试试咯
如果你真的想把问题搞清楚，不妨说说你的理解

这种情况是不能访问WEB服务的。除非将端口和状态同时验证。iptables -A INPUT -p tcp  -i eth0 --dport 80 -m state --state NEW -j ACCEPT

我是说状态防火墙是否还有其他的用法？

一个小人物

原帖由 "platinum" 发表：

你试试咯
如果你真的想把问题搞清楚，不妨说说你的理解

当然想搞清楚，我想知道如果你遇到这种情况，如何使用状态防火墙？谢谢。

platinum

原帖由 "一个小人物" 发表：


这种情况是不能访问WEB服务的。除非将端口和状态同时验证。iptables -A INPUT -p tcp  -i eth0 --dport 80 -m state --state NEW -j ACCEPT

错，其实是可以的
策略里面描述的越多，匹配到的就越少，这个你应该能明白
要学 iptables 就要多做试验，不要纸上谈兵

我是说状态防火墙是否还有其他的用法？

先不要研究其他用法，先把这个 -m state 里面的 5 个状态吃透再说

一个小人物

原帖由 "platinum" 发表：

先不要研究其他用法，先把这个 -m state 里面的 5 个状态吃透再说

跟你研究了一上午，你什么也不说。不能来点实际的吗？会的话就说说看。到底是谁在纸上谈兵？

一个小人物

跟你问点问题这么费劲。看来你学点东西真不容易。

platinum

那就请您问其他人吧

attiseve

我来说两句个人看法：
一、一个数据包要经过mangle的 prerouting 、nat 的prerouting、mangle的forward 、filter 的forward 、mangle的postrouting、nat的postrouting，我认为这是对的。出去也要走这些。
二、可以考虑服务器返回的数据包。但必须指定特定的网卡和特定的链上实行。
三、filter的forward是要accept的。（好像默认就是，不用特意开启）对DNAT实际起作用的是nat表中的PREROUTING链。前者只是过滤，不能实现修改源地址和目的地址。
四、iptables -A INPUT  -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
应该进不来吧。都drop掉了：iptables -A INPUT  -p tcp -j DROP

呵呵，个人看法。不知对不对。请大家批评指教。

一个小人物

原帖由 "attiseve" 发表：
我来说两句个人看法：
一、一个数据包要经过mangle的 prerouting 、nat 的prerouting、mangle的forward 、filter 的forward 、mangle的postrouting、nat的postrouting，我认为这是对的。出去也要走这些。
二、可以..........

谢谢回复，关于第四点，在我的网络中，我既想对外面的请求提供WEB服务，又要启用状态防火墙。如果不让NEW状态的包通过，我不能提供服务，如果通过又起不到效果，任何目的 的第一次请求都将通过，请问该怎么做？

lijietz

原帖由 "一个小人物" 发表：



谢谢回复，关于第四点，在我的网络中，我既想对外面的请求提供WEB服务，又要启用状态防火墙。如果不让NEW状态的包通过，我不能提供服务，如果通过又起不到效果，任何目的 的第一次请求都将通过，请问该怎么做？

如果你httpd的端口是80.可以通过检查包的目的端口来做啊.

attiseve

“如果通过又起不到效果”。这么严重吗？你要状态防火墙为你防什么呢？DOS攻击？最好能具体些。