LINUX CENTOS 的IPTABLES开放VNCSERVER的问题?

guohaili

以下是的IPTABLES的配置,这个是别人做的,本来好使的,开放一一些常见的服务:22,139 ,445,而现在我想在
添加几个服务,比如VNC服务:5801,5901,我添加了,我认为应该没问题,但是就是不好使,而我一旦把IPTABLS停了,就可以连接了,就是IPTABLES配置问题,那位知道的,麻烦告诉兄弟一声,不胜感谢!!!!
[root@fs ~]# service iptables status
表格：filter
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:137 dpt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:138 dpt:138
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:139
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:445
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:389
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5801
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5901

addbe

REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5801
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5901

改成
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5801
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5901
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
如何

guohaili

问题解决了,确实如楼上所诉的情况,非常感谢!
但是有一个疑问:
# Generated by iptables-save v1.2.11 on Fri Jun 16 10:08:10 2006
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [892:629864]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --sport 137 --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --sport 138 --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 389 -j ACCEPT
#-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 5801 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 5901 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Jun 16 10:08:10 2006

上面-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited这段是什么意思,是禁止所有的主机PING 本机吗?

cuzxj

IPTABLES是严格讲顺序执行的.
你把你的两条加入INPUT链也是可以的.但要在RH默认链的上面.