免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 4102 | 回复: 3
打印 上一主题 下一主题

LINUX CENTOS 的IPTABLES开放VNCSERVER的问题? [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2006-06-16 16:57 |只看该作者 |倒序浏览
以下是的IPTABLES的配置,这个是别人做的,本来好使的,开放一一些常见的服务:22,139 ,445,而现在我想在
添加几个服务,比如VNC服务:5801,5901,我添加了,我认为应该没问题,但是就是不好使,而我一旦把IPTABLS停了,就可以连接了,就是IPTABLES配置问题,那位知道的,麻烦告诉兄弟一声,不胜感谢!!!!
[root@fs ~]# service iptables status
表格:filter
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:137 dpt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:138 dpt:138
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:139
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:445
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:389
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5801
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5901

论坛徽章:
0
2 [报告]
发表于 2006-06-16 16:59 |只看该作者
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5801
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5901

改成
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5801
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:5901
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
如何

论坛徽章:
0
3 [报告]
发表于 2006-06-19 08:44 |只看该作者
问题解决了,确实如楼上所诉的情况,非常感谢!
但是有一个疑问:
# Generated by iptables-save v1.2.11 on Fri Jun 16 10:08:10 2006
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [892:629864]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --sport 137 --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --sport 138 --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 389 -j ACCEPT
#-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 5801 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 5901 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Jun 16 10:08:10 2006

上面-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited这段是什么意思,是禁止所有的主机PING 本机吗?

论坛徽章:
0
4 [报告]
发表于 2006-06-20 09:58 |只看该作者
IPTABLES是严格讲顺序执行的.
你把你的两条加入INPUT链也是可以的.但要在RH默认链的上面.
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP