设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡合作培训机构(排名不分先后)≡□≡ 其他培训机构 『 合肥培训机构 』 【合肥清默】iptables 1.4.7 实际应用
返回列表 发新帖
查看: 1449|回复: 4
收起左侧

【合肥清默】iptables 1.4.7 实际应用

[复制链接]
王娜
发表于 2013-10-29 10:18:44 | 显示全部楼层 |阅读模式
根据需求,外网可访问服务器一下端口:80、14490、14500、14460、14470、24461
                服务器可访问外部端口:80、25
                考虑到远程管理接口,添加22端口,考虑到上网需求,放行53端口。放行环回接口,icmp ping。
  
具体配置信息如下
[root@localhost sysconfig]# iptables -V
iptables v1.4.7
[root@localhost sysconfig]# iptables -S
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m multiport --dports 80,14490,14500,14460,14470,24461 -j ACCEP
-A INPUT -p udp -m state --state NEW -m multiport --dports 14490,14500,14460,14470,24461 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m multiport --dports 80,25 -j ACCEPT
-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
  
过程中遇到的情况:
1、不能ping 域名,之前也发现该问题,但一直没时间验证。
      发现在OUTPUT DROP 时,不能telnet dns 53 端口。添加条目:
     -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
     -A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
      这里包括了tcp、udp 两个协议端口。
  
     中间因为书写也出现过错误
      -A OUTPUT -p udp -m state --state NEW -m tcp --dport 53 -j ACCEPT
      这里条目书写错误,前后协议不匹配,但在iptables重启时,会报最后一行“COMMIT”错误。很悲哀,细活还得认真啊!
  
2、-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
      这里的条目放行已经建立连接的后续再链接,要添加。
  
3、-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
      对新建连接的放行
  
4、在书写条目是可以分开INPUT 和OUTPUT。便于查看、排错。
  
5、重启:service iptables restart
      保存:iptable-save > /etc/sysconfig/iptables
  
6、一定放行换回接口
     -A INPUT -i lo -j ACCEPT
     -A OUTPUT -o lo -j ACCEPT
  
7、icmp 放行
     -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
      -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
      -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
      -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
  
实际应用, 合肥

相关帖子
回复

使用道具 举报

王娜
 楼主| 发表于 2013-10-29 10:19:23 | 显示全部楼层
沙发 2013-10-29 10:19:23 回复 收起回复
回复 支持 反对

使用道具 举报

大脚丫@
发表于 2013-10-29 11:43:52 | 显示全部楼层
板凳 2013-10-29 11:43:52 回复 收起回复
回复 支持 反对

使用道具 举报

wangluo_ccna
发表于 2013-10-29 11:45:29 | 显示全部楼层
地板 2013-10-29 11:45:29 回复 收起回复
回复 支持 反对

使用道具 举报

暴走的虾米
发表于 2013-10-29 13:23:36 | 显示全部楼层
5# 2013-10-29 13:23:36 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-1-31 09:24 , Processed in 0.065660 second(s), 14 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表