如何将RedHat下的iptables统一成标准的iptables？

edwardhayes

rt

JohnBull

不明白

edwardhayes

这是redhat默认生成的iptables：
# Generated by iptables-save v1.2.7a on Tue Feb 24 16:45:49 2004
*filter
:INPUT ACCEPT [0]
:FORWARD ACCEPT [0]
:OUTPUT ACCEPT [4457]
:RH-Lokkit-0-50-INPUT - [0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -s 66.187.233.4 -p udp -m udp --sport 123 --dport 123 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -s 66.187.233.4 -p udp -m udp --sport 123 --dport 123 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -s 210.83.158.91 -p udp -m udp --sport 53 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -s 218.108.19.190 -p udp -m udp --sport 53 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A RH-Lokkit-0-50-INPUT -p udp -m udp -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue Feb 24 16:45:49 2004

Lokkit是什么意思啊？规则的写法应该是分为几个表才对啊。迷糊了……

无花果

/etc/sysconfig/iptables文件是由/etc/init.d/iptables脚本调用/sbin/iptables-save生成的，也由/sbin/iptables-restore还原到系统，而iptables-save和iptables-restore是二进制文件，只有修改/etc/init.d/iptables文件，用相应的命令代替iptables-restore。

其实这个文件也没什么难懂的啊，你只要在每条规则前加上/sbin/iptables,看起来还是跟普通的规则一样啊。

无花果

RH-Lokkit-0-50-INPUT是自建链，根据文件描述，所有的数据由INPUT或FORWARD转到RH-Lokkit-0-50-INPUT，根据该链中的规则进行过滤。

edwardhayes

有点明白了，谢谢无花果。