Linux iptables firewall 設定常見 FAQ 整理 (最近更新時間：8/18/2006)

yjd333

一段时间没来。老大发这么好的东西。。支持。。

tramp6

收藏.备用`~~长见识了.`~~

超值优惠

iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
若我不使用第二句，外边的可以SSH连接进来，但连接速度很慢，加上这句后一下就连上了，反复试了几次都是这样，真是想不通。
另外drop和reject好像实际效果都差不多啊，有什么区别呢？请教了。

[ 本帖最后由 超值优惠 于 2006-10-20 15:16 编辑 ]

kenduest

原帖由 超值优惠 于 2006-10-20 15:12 发表
ptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
若我不使用第二句，外边的可以SSH连接进来，但连接速度很慢，加上这句后一下就连上了，反覆试了几次都是这样，真是想不通

前面讨论部份已经有谈过了，建议你再去看一下 tcp/ip 双向沟通的回应问题，包含 faq 列表部份也有谈过。

你连到对方主机，对方主机还会进行 dns 反查等动作，所以到时候会有 dns 查询结果回应到你主机。只是你的 INPUT default policy 是 DROP，所以封包回应失败会导致要等 timout 后放弃。

另外这样设定你主机根本无法主动连出去，您测试后就会知道。

==

超值优惠

原帖由 kenduest 于 2006-10-20 15:40 发表


前面讨论部份已经有谈过了，建议你再去看一下 tcp/ip 双向沟通的回应问题，包含 faq 列表部份也有谈过。

你连到对方主机，对方主机还会进行 dns 反查等动作，所以到时候会有 dns 查询结果回应到你主机。只 ...

DNS反查确实是我没想到的，谢谢你的解释！

window98lsq

请问一下mangle是什么东东？

iamshiyu

原帖由 window98lsq 于 2006-10-23 11:47 发表
请问一下mangle是什么东东？

更改封包状态，比如ttl什么的……

juanshuchun

thanks

peixubin

你连到对方主机，对方主机还会进行 dns 反查等动作，所以到时候会有 dns 查询结果回应到你主机。只是你的 INPUT default policy 是 DROP，所以封包回应失败会导致要等 timout 后放弃。

dns 查询结果怎么会回应到你主机上呢？应该是回应到对方主机上吧?

另外，这个dns反查能不能禁用啊？像我这里的aix5,true4.0在我从客户端telnet时,速度很快，但是redhat linux在ssh或telnet 时，由于要dns反查,速度很慢。

kenduest

原帖由 peixubin 于 2006-12-19 15:03 发表
dns 查询结果怎么会回应到你主机上呢？应该是回应到对方主机上吧?

你發出查詢連到外面主機查詢資料, 對方要把資料回應給你, 這回應的動作相當於連線到你主機, 不是呼 ?

另外，这个dns反查能不能禁用啊？像我这里的aix5,true4.0在我从客户端telnet时,速度很快，但是redhat linux在ssh或telnet 时，由于要dns反 ...

關閉 dns 反查? ssh 服務 部分 /etc/ssh/sshd_config 配置:

1. UseDNS no

复制代码

若是 telnet 服務的話, 比方你的 telnet 服務是由 xinetd 來 listen 的話, 要看  xinetd 整體配置與個別服務配置. 像是 /etc/xinetd.conf 確認像是:

1. 
   
2. defaults
   
3. {
   
4.         instances               = 60
   
5.         log_type                = SYSLOG authpriv
   
6.         log_on_success          = HOST PID
   
7.         log_on_failure          = HOST
   
8.         cps                     = 25 30
   
9. }
   

复制代码

要把 HOST 敘述拿掉就可以了. 另外像是個別服務部份也是, 比方我主機 /etc/xinetd.d/telnet 像是:

1. 
   
2. service telnet
   
3. {
   
4.         disable         = yes
   
5.         flags           = REUSE
   
6.         socket_type     = stream
   
7.         wait            = no
   
8.         user            = root
   
9.         server          = /usr/sbin/telnetd
   
10.         server_args     = -a none
    
11.         log_on_failure  += USERID
    
12. }
    
13. 
    

复制代码

要確認一下 log_on_failure 與 log_on_success 內的配置若是有額外多 HOST 時要拿掉即可.

--