IPtable规则不起作用！！！

platinum

原帖由 ssffzz1 于 2006-12-21 20:26 发表
请执行我的第二条建议看看.或把INPUT的默认规则改为DROP

和这个一点关系都没有，规则前面已经有针对特殊目的 IP 和端口的 DROP 了

zhou001sheng

好的！我试试~~~谢谢
另外，我INPUT的默认规则是DROP啊

zhou001sheng

platinum 兄，那你看看我iptable是哪里的问题呢？
我主要是想做到不让XScan扫描到我防火墙屏蔽了的端口服务

platinum

我觉得应该是你马虎造成的
你这样试试
service iptables stop
iptables -P INPUT DROP
然后再扫，若还和以前一样，那就是你系统的问题，本身可能有某些 proxy
你的脚本没问题（若扫描的时候用的就是上述策略）

zhou001sheng

哦，谢谢
按照常理来说运行防火墙什么都没设置的情况下，执行命令iptables -P INPUT DROP后；XScan是扫描不出服务器运行端口，是吧？

zhou001sheng

对了！
系统运行的代理怎么屏蔽呢？难道DROP其端口还不行吗？

zhou001sheng

platinum兄台，我在我PC机上安装了一个新的新的CentOS系统，是通过虚拟机安装的！然后把防火墙停止了（/etc/rc.d/init.d/iptables stop）,然后运行命令iptables -P INPUT DROP后，再用XScan扫描，结果还是扫描出我的虚拟机CentOS系统开放了n多端口（25、80、110、143、119、1080、8080、3128端口），却没有了SSH端口，不知道这个是不是正常的，越来越困惑。。。。

ssffzz1

不会吧,是不是扫到不是虚拟机的系统了.

springwind426

192.168.1.203
192.168.1.204
是你的机器上的静态IP吗？

如果不是，那么起作用的就是：
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
# -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -M tcp -p tcp --dport 1935 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -M tcp -p tcp --dport 1111 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -M tcp -p tcp --dport 3306 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -M tcp -p tcp --dport 8080 -j ACCEPT