觉得iptable脚本真没必要那么规范

ht11

做NAT时候觉得- -网上好多脚本是不是规范的多余了
没自定义链的情况下iptables -X没必要写
-Z清零的话个人认为是要IPTABLES SAVE了之后才用
根本就没想DORP三链的话，下面不用写
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
下面三条最没必要写- -（泻特，难道默认的是DROP？）
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
说实话，对-P真是不理解，它是要不符合规则的包强制使用策略----就是你后面注明DROP和ACCEPT的包。。。但是如果设定为ACCEPT的话，默认都是ACCEPT的，还有必要着重强制一下
对于INPUT链的安全问题，也不用在开头就-P INPUT DROP了
等你把LO、$LAN和其他端口、ESTABLISHED都ACCEPT后再， -A INPUT DROP是一样的效果（反之也行），对单独做NAT的机器来说，$LAN（局网）都没必要ACCEPT，转发又不靠他，MRTG的话lo ACCEPT就够了- -万一你内网比外网还凶险的话，ACCEPT岂不是得不偿失，我们这就是，网吧，天天一大群大虾在下面扫你，看见有什么开着就动歪脑筋，OH MY GOD~
还有modprobe，这玩意的写法怎么从LINUX7.3开始就没变过，唉~
纯属菜鸟一番牢骚- -因为最近做NAT不停的兢兢业业按格式写脚本，打了N多份了，越大速度越不理想- -人都要崩溃了，最后居然是自己随手写的一个最不正规的脚本效果最好- -昏倒。。。。。。。

platinum

原帖由 "ht11" 发表：
做NAT时候觉得- -网上好多脚本是不是规范的多余了
没自定义链的情况下iptables -X没必要写
-Z清零的话个人认为是要IPTABLES SAVE了之后才用
根本就没想DORP三链的话，下面不用写
iptables -P INPUT ACCEPT
ipta..........

你考虑问题太简单了

1. 
   
2. 下面三条最没必要写- -（泻特，难道默认的是DROP？）
   
3. iptables -t nat -P PREROUTING ACCEPT
   
4. iptables -t nat -P POSTROUTING ACCEPT
   
5. iptables -t nat -P OUTPUT ACCEPT
   

复制代码

这种东西看似没用，实际上是最严谨的写法，是可以让各种环境下的系统都可以正常运行脚本的意思，因为你无法猜测这个系统当前的默认规则到底是ACCEPT还是DROP

还有modprobe，为什么要这么写？
我只加载ip_nat_ftp和ip_conntrack_ftp，为什么？
我不加载其他的模块，比如ipt_MASQUERADE、ip_conntrack，为什么？
/lib/modules/<version>;/modules.dep又是做什么用的？

呵呵

網中人

是的, 我認同 platinum 兄的說法.
那些設定大都為了照顧不同的環境, 因為你不確定執行 script 之前是怎樣設的.
不過, 若是在 redhat/fedora 系統裡,
我都是在 script 裡加一行 /etc/rc.d/init.d/iptables stop 將環境 reset 後再加新的規則.

不過, 樓主說的也不無道理.
道理在於指出了很多人或許不求甚解, 只會找著別人寫好的例子硬套, 而沒去按實際情形來調整.
強烈建議先搞懂原理以及每一行的意思, 再來使用 script 不遲.

ht11

原帖由 "platinum" 发表：

还有modprobe，为什么要这么写？
我只加载ip_nat_ftp..........

菜鸟不怕答错，有收获就行。加载模块- -环境centos3.4，lsmod的话，这些模块几乎都有，只不过后面注释不同罢了,就拿ip_nat_ftp来说后面标明used为0，也就是依赖它的核心模块为0，所以后面[]里标注的为unused，再比如其他诸如ip_tables的模块，used都为几个，具体依赖的核心模块在后面的[]里都有，至于还有类似8139too之类的驱动模块，后面的[]依赖一般都是antouclean，我视为根据环境自动移除~
不知道这么回答有错否，偶手头上的资料只告诉了我这些，当然自己心里也没有底~明天把modprobe ip_nat_ftp注释掉，看下面的机器是否能正常上FTP就能清楚了

platinum

是这样
ipt_REDIRECT
ipt_MASQUERADE
ipt_LOG
ipt_state
iptable_nat
ip_conntrack
ip_tables
等等这些模块都会在使用iptables的时候自动加载，所以没必要手动modprobe

比如
当你-j MASQUERADE的时候，ipt_MASQUERADE会自动加载
当你-m state的时候，ipt_state会自动加载
当你-j DNAT或者SNAT的时候，iptable_nat会自动加载
但是，ip_conntrack_ftp和ip_nat_ftp比较特殊

ht11

[quote]原帖由 "platinum"]但是，ip_conntrack_ftp和ip_nat_ftp比较特殊[/quote 发表：

绝对支持，同时愿闻其详，为这个我也很困惑，因为在modprobe这两项前后我都lsmod过，而且看到的结果都一样- -但是有很多朋友，就是没modprobe它们而无法通过地址转换连上公网的FTP，郁闷，感谢白金！！~

platinum

在modprobe这两项前后我都lsmod过，而且看到的结果都一样

你先service iptables stop，然后lsmod确保里面没有模块
接着再执行你自己的防火墙shell试试？

網中人

platinum 兄還是幫大家解釋一下 ftp 的 passive mode 與 active mode 吧.
然後再來說那兩個 ftp modules 幹嘛用的, 自然好理解.

ht11

原帖由 "platinum" 发表：

你先service iptables stop，然后lsmod确保里面没有模块
接着再执行你自己的防火墙shell试试？

哦，那如此看来网中人所说的在 script 裡加一行 /etc/rc.d/init.d/iptables stop 將環境 reset 後再加新的規則不是多余的，回家了拿家里的机器试~HOHO~~

JavaJing

modprobe这个模块使用起来不是那么习惯。