请教一个关于xdmcp问题

jayffff

我的windows xp主机装了一个xming，虚拟机的Cent5.8 的防火墙里添加了一句iptables -A INPUT -i eth0  -p udp --sport 1024:65535 -s 10.103.26.94 --dport 177 -j ACCEPT，但是我用xming连接却不显示。filter的INPUT链的policy是drop。我试了一下，先清空规则后，只添加那一句，也不行，要是将policy改成accept，就可以，或者放行94那台主机也可以，是不是我添的那个规则用问题啊？

chenyx

1. iptables -L INPUT -nv

复制代码

将结果贴下

jayffff

回复 2# chenyx


    我已经用iptables -F；iptables -X将所有规则清空了，input的默认policy是accept，然后我添加的--dport 177那条规则，就只有这一条，output和forward是accept，这样可以连上，但是要是我将input改为drop就连不上了，xming只有xserver的那个小十叉。

chenyx

1. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
   
2. iptables -A INPUT -i lo -j ACCEPT
   
3. iptables -A INPUT -i eth0  -p udp  -s 10.103.26.94 --dport 177 -j ACCEPT

复制代码

你将规则写成这样,然后将Input变成Drop.

jayffff

chenyx 发表于 2013-08-18 22:49
你将规则写成这样,然后将Input变成Drop.

这三条都写上就可以，我试了一下，好像是iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT，去掉这条就不行了。这意思好像除了177之外，还有其他端口啊。可是xdmcp不是连接177端口么，能详细解释一下么？

chenyx

那个规则的意思是连接成功的包放行.
不是你想的那样,因为包是双向的,所以,那个规则的意义在于允许回应包通过

zongg

jayffff 发表于 2013-08-20 10:28
这三条都写上就可以，我试了一下，好像是iptables -A INPUT -m state --state RELATED,ESTABLISHED -j AC ...

这是基于状态的包匹配。一般都要写上。

jayffff

回复 7# zongg


    谢谢

jayffff

回复 6# chenyx
明白了，谢谢。

   

chenyx

http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=2123784
这里是一些常见的iptables问题,你看看吧