看不懂/etc/sysconfig/iptables文件

tian1118 · 发表于 2005-5-25 10:24:36

关于iptables的帖子在哪问,找不到,看到这的人气旺就发到这了.

# nat表
*nat

REROUTING ACCEPT [6225]

OSTROUTING ACCEPT [2297]
:OUTPUT ACCEPT [2297]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 61.133.202.70
COMMIT
# Completed on Tue May 24 11:04:40 2005
# Generated by iptables-save v1.2.8 on Tue May 24 11:04:40 2005
*filter
:INPUT ACCEPT [0]
:FORWARD ACCEPT [0]
:OUTPUT ACCEPT [26119]
:RH-Firewall-1-INPUT - [0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

-A INPUT -s 219.150.13.170 -j DROP
-A INPUT -s 220.115.251.1 -j DROP
-A INPUT -s 211.115.68.55 -j DROP

其中RH-Firewall-1-INPUT是什么意思,把它改为INPUT可以吗?
最后有COMMIT是什么意思?删除可以吗???

月下刀客 · 发表于 2005-5-25 10:29:20

帮你转到服务器版

dannycat · 发表于 2005-5-25 14:42:49

RH 的 /etc/sysconfig/iptables 文件，为 iptables-save 生成的格式。

[code:1]*nat[/code:1]开始处理nat表
[code:1]:PREROUTING ACCEPT [6225:391979][/code:1]PREROUTING 链的默认策略为ACCEPT（接受/允许），即 -t nat -P PREROUTING ACCEPT。方括号内是本链引用计数，即通过本链的有6225个包，共391979字节。
[code:1]:POSTROUTING ACCEPT [2297:137947][/code:1]POSTROUTING 链的默认策略为ACCEPT，即 -t nat -P POSTROUTING ACCEPT
[code:1]:OUTPUT ACCEPT [2297:137947][/code:1]OUTPUT 链的默认策略为接受，即 -t nat -P OUTPUT ACCEPT

-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 61.133.202.70

添加一SNAT规则，从eth1 外发的、源地址为192.168.0.0/24网络的数据包将被修改为好像从 61.133.202.70 发出。
[code:1]COMMIT[/code:1]nat表处理结束，以下部分不再属于 nat 表

[code:1]*filter[/code:1]开始处理 filter 表
[code:1]:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [26119:9709654][/code:1]见上
[code:1]:RH-Firewall-1-INPUT - [0:0][/code:1]定义一个自定义链，名称为RH-Firewall-1-INPUT
[code:1]-A INPUT -j RH-Firewall-1-INPUT[/code:1]所有输入数据包都转到 RH-Firewall-1-INPUT 链处理
[code:1]-A FORWARD -j RH-Firewall-1-INPUT[/code:1]所有转发数据包都转到 RH-Firewall-1-INPUT 链处理
[code:1]-A RH-Firewall-1-INPUT -i lo -j ACCEPT[/code:1]在 RH-Firewall-1-INPUT 链中添加规则，接受由本地环回接口进入的所有数据包
[code:1]-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT[/code:1]接受由网络接口 eth0 进入的所有数据包
[code:1]-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT[/code:1]接受由网络接口 eth1 进入的所有数据包
[code:1]-A RH-Firewall-1-INPUT -p icmp -m icmp any -j ACCEPT[/code:1]接受所有 ICMP 协议的数据包
[code:1]-A RH-Firewall-1-INPUT -p esp -j ACCEPT[/code:1]接受所有 IPSec ESP 协议的数据包
[code:1]-A RH-Firewall-1-INPUT -p ah -j ACCEPT[/code:1]接受所有 IPSec AH 协议的数据包
[code:1]-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT[/code:1]接受所有状态标记为 RELATED 或 ESTABLISHED 的数据包
[code:1]-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT[/code:1]接受所有目标端口为 80 的 TCP 新连接数据包
[code:1]-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT[/code:1]接受所有目标端口为 21 的 TCP 新连接数据包
[code:1]-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT[/code:1]接受所有目标端口为 22 的 TCP 新连接数据包
[code:1]-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited[/code:1]其余数据包一律拒绝，并以 icmp-host-prohibited 数据包回应
[code:1]COMMIT[/code:1]filter表处理完毕

[code:1]-A INPUT -s 219.150.13.170 -j DROP
-A INPUT -s 220.115.251.1 -j DROP
-A INPUT -s 211.115.68.55 -j DROP[/code:1]还是在 filter 表里处理，丢弃源地址为219.150.13.170、220.115.251.1、211.115.68.55 的数据包。
这三行是哪位自己手工加上去的了，不是 iptables-save 生成的。

总体来说，楼主给出的整个 iptables 规则链就是 BOWLSHIT

除了一句“-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 61.133.202.70”，其余规则根本就不会起什么作用。

-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT

有这两句在前，已经把所有数据包放行了，之后的规则写也是白写。

tian1118 · 发表于 2005-5-25 15:19:51

感谢版主透彻的分析,小弟刚学iptables,有很多不懂的请多多指教.

tian1118 · 发表于 2005-5-26 11:20:45

其中

REROUTING ACCEPT [6225] 6225:391979是怎么产生的,系统自己生成的,还是......,我可以修改它吗?

bwb · 发表于 2005-5-26 13:50:13

所有规则都可以修改，不过最好先备份。

		自动登录	找回密码
密码			注册

看不懂/etc/sysconfig/iptables文件

Re: 看不懂/etc/sysconfig/iptables文件