今天服务器挂了n次。。，看iptables被更改.请版主等高手们帮忙

枫影谁用了

原帖由 "bigcat_00" 发表：

这是RH自定义的一个链，把INPUT的数据包重新在这个链里处理，不晓得目的是啥…………你把iptables服务停了这个链就会消失掉。

停了iptables那我的防火墙怎么办？裸奔啊？？要是停了iptables早就死了！！我就是不明白他怎么会改得到我的iptables？
为什么会有INPUT连的东西要重新定义到这里？？？这个和iptables的配制到底有没有关系？？？

bigcat_00

-__-!!
没啥说的了………………

我的FC3就停了iptables服务，但是防火墙依然起作用。

枫影谁用了

原帖由 "bigcat_00" 发表：
-__-!!
没啥说的了………………

我的FC3就停了iptables服务，但是防火墙依然起作用。

             啥 ！俺是不懂呗！！！停了iptables服务那我的那些规则 还有用吗？     

platinum

-A PREROUTING -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 443 -j DROP
-A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 443 -j DROP
-A PREROUTING -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 443 -j DROP
-A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 443 -j DROP
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.20 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.20 -o ppp0 -j MASQUERADE

晕，这么多重复的，而且怎么还有 UDP/443

-A INPUT -i eth1 -p tcp -m multiport --dports 135,136,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds,http,ftp,domain,pop3,smtp -j ACCEPT
-A INPUT -i eth1 -p udp -m multiport --dports 135,136,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds,ftp,domain -j ACCEPT

思维混乱，没有搞懂什么服务用什么协议跑在什么端口上，建议你 netstat -lnp 看看再决定开哪个端口

:RH-Lokkit-0-50-INPUT - [0]
这个链没用到，可用 iptables -X 删之

枫影谁用了

[quote]原帖由 "platinum"]飧隽疵挥玫剑?捎

platinum

原帖由 "枫影谁用了" 发表：


重复？我的脚 本你也看到了！重复从何而来？而且 我每次更新脚 本时都是先清除 先前的脚 本的！
udp443是httpd的一个端 口，那怕我没有在防火墙中开，他也会有！

重复不重复，你自己都贴出来了，自己看
至于你说的 HTTP 的 UDP/443 我不理解

枫影谁用了

原帖由 "platinum" 发表：

重复不重复，你自己都贴出来了，自己看
至于你说的 HTTP 的 UDP/443 我不理解

呵呵1谢谢你的回复！我现在的脚 本，我发现iptables会有漏包的现象！给我补补看！
iptables -F
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m multiport --dports 443,139,80,21,53,110,25 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -m multiport --dports 138,137,67,53 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -m multiport --dports 110,80,25 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE

我现在的脚 本这样，为什么外网会用udp/53端口进入本机！我用iptraf看到的！

cnadl

-.-就没有其他的安全设备么？

枫影谁用了

[quote]原帖由 "cnadl"]-.-就没有其他的安全设备么？[/quote 发表：


没有啦！我用的是linux做的服务器！给点建议！thanks!

枫影谁用了

原帖由 "platinum" 发表：
1、贴出 iptables-save 的内容，要全部，帮你看看有什么问题
2、给 icmp 设置一个允许阀值，不要随便允许
3、有可能不是死机，而是 CPU 过载，当你再发现死机的时候，拔掉网线看能否恢复正常

第二点怎么实现！怎么防止这样的攻击 ！