为什么锁不住端口

guofanjuan

我按网上文章写的
[0] -A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP
[0] -A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP
为什么还是锁不了111端口，扫描还是可以扫到
请高手指教一下！

llzqq

检查一下IPTABLES的前面是否已经把111放过去了

platinum

1、你是如何写的，如何载入iptables规则的？
2、iptables -vnL看看结果，规则的顺序很重要
3、网上的文章不一定对，“-m tcp”或者“-m udp”根本没必要

   tcp
       These  extensions  are loaded if `--protocol tcp' is specified. It pro-
       vides the following options:

       --source-port [!] port[]
              Source port or port range specification. This can  either  be  a
              service  name  or  a port number. An inclusive range can also be
              specified, using the format port:port.  If  the  first  port  is
              omitted,  "0"  is  assumed;  if  the last is omitted, "65535" is
              assumed.  If the second port greater then the first they will be
              swapped.   The  flag  --sport  is  a  convenient  alias for this
              option.

       --destination-port [!] port[]
              Destination port or port range specification.  The flag  --dport
              is a convenient alias for this option.

       --tcp-flags [!] mask comp
              Match  when  the TCP flags are as specified.  The first argument
              is the flags which we should examine, written as  a  comma-sepa-
              rated list, and the second argument is a comma-separated list of
              flags which must be set.  Flags are: SYN ACK FIN RST URG PSH ALL
              NONE.  Hence the command
               iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
              will  only match packets with the SYN flag set, and the ACK, FIN
              and RST flags unset.

       [!] --syn
              Only match TCP packets with the SYN bit set and the ACK and  RST
              bits  cleared.   Such packets are used to request TCP connection
              initiation; for example, blocking  such  packets  coming  in  an
              interface  will  prevent  incoming TCP connections, but outgoing
              TCP connections will be unaffected.  It is equivalent to  --tcp-
              flags  SYN,RST,ACK  SYN.   If the "!" flag precedes the "--syn",
              the sense of the option is inverted.

       --tcp-option [!] number
              Match if TCP option set.

       --mss value[]
              Match TCP SYN or SYN/ACK packets with the  specified  MSS  value
              (or  range), which control the maximum packet size for that con-
              nection.

   udp
       These extensions are loaded if `--protocol udp' is specified.  It  pro-
       vides the following options:

       --source-port [!] port[]
              Source port or port range specification.  See the description of
              the --source-port option of the TCP extension for details.

       --destination-port [!] port[]
              Destination port or port range specification.  See the  descrip-
              tion  of  the --destination-port option of the TCP extension for
              details.

你又不用那些细节控制，没必要加那两个参数
网上的文章都是你抄我，我抄你，转载的人也不管对错，写文章的人也很多都是知其然不知其所以然