123 / 3 页下一页

[网络管理] 继续求问IPTABLES问题高手请进入查看谢谢 [复制链接]

speed_fj

稍有积蓄

论坛徽章:: 0

11楼 [报告]

发表于 2005-02-27 18:28 |只看该作者

继续求问IPTABLES问题高手请进入查看谢谢

顶一下：）

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

12楼 [报告]

发表于 2005-02-27 18:38 |只看该作者

继续求问IPTABLES问题高手请进入查看谢谢

[quote]原帖由 "speed_fj"]我写的应该没错阿[/quote 发表：

我给你分析一下

firewall1.sh
/sbin/iptables -F
echo 0 >; /proc/sys/net/ipv4/ip_forward
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -p tcp --syn -j DROP
/sbin/iptables -A INPUT -p udp --destination-port :1025 -j DROP

复制代码

这个脚本允许了1025以上的UDP协议进入系统

firewall2.sh
/sbin/iptables -F
echo 0 >; /proc/sys/net/ipv4/ip_forward
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

复制代码

这个脚本看上去没有问题，但实际上也有问题，且第一个脚本也有同样的问题
就是你没有允许lo设备数据包的进入，也就是127.0.0.1，或者叫localhost，访问本系统，这个也应该有的，有的服务需要

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

speed_fj

稍有积蓄

论坛徽章:: 0

13楼 [报告]

发表于 2005-02-27 19:18 |只看该作者

继续求问IPTABLES问题高手请进入查看谢谢

第一个脚本应该是丢弃了0～1025 udp端口吧因为我写着:1025

需要写lo吗呵呵我不太清楚我加一下吧谢谢斑竹

请问您对QMAIL熟悉吗

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lovellgg

白手起家

论坛徽章:: 0

14楼 [报告]

发表于 2005-02-27 20:27 |只看该作者

继续求问IPTABLES问题高手请进入查看谢谢

第一个肯定有问题的,看一下3次握手的过程吧,A------Syn----->;B
A<---Syn/Ack----B
A-----Ack------>;B 这样,建立了3次握手,你把SYN全部drop掉,不是很合理吧?
第二个,INPUT被全部drop掉了,怎么去建立合理的连接?

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

15楼 [报告]

发表于 2005-02-27 20:36 |只看该作者

继续求问IPTABLES问题高手请进入查看谢谢

原帖由 "lovellgg" 发表：
第一个肯定有问题的,看一下3次握手的过程吧,A------Syn----->;B
A<---Syn/Ack----B
A-----Ack------>;B 这样,建立了3次握手,你把SYN全部drop掉,不是很合理吧?
第二个,INPUT被全部drop掉了,怎么去建立合?.........

第一个，他只禁止了纯SYN请求的数据包
第二个，他有/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT这句话