酷!學園

技術討論區 => Linux 討論版 => 主題作者是: peteryang 於 2004-04-22 23:53

主題: [問題]請問iptables的規則????
作者: peteryang2004-04-22 23:53
各位先進大家好
小弟目前遇到一個問題,就是在iptables裡,它的規則是以我們在script裡所寫的為準,還是是以/etc/sysconfig/iptables裡的為準,因為小弟目前有一script,用iptables-save之後去看,是nat 先,而不是filter先,因此小弟想若是以iptables-save來看,是nat先,那不就沒有filter的功能了,所以小弟想問一下,是否有記錯,因為同一支script跑,一個是以filter在上面先,而另一個卻是nat在上面,因此才會覺得很奇怪,煩請各位先進不吝指教,謝謝
主題: [問題]請問iptables的規則????
作者: jarrycho2004-04-23 08:21
要使用您自己寫的script 來跑或者使用 iptables-sav 下來的跑都可以,
至於NAT 先還是filter 先跑,沒差啊!一樣都可以跑,只不過建議是NAT
先跑,因為如果您是在最前端就定義了一些「錯誤的」Drop 規則的話,後
面的accept 都會全部無用處,最好是先accept 再做drop 的動作!
主題: [問題]請問iptables的規則????
作者: SaPow2004-04-23 11:13
[預設]先DROP ALL再依需求ACCEPT,個人覺得是比較好的方式

假如可以的話,你可以先預設
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP
iptables -t nat -P OUTPUT DROP

再依你的需求一條一條的加進你的rule,一邊加邊測試
你應該會有蠻多收穫的,可以知道連線流向,封包進出會經過哪些table chain

以上供參考,都了解之後再用適合自己的方式去設定吧
主題: [問題]請問iptables的規則????
作者: zterry262004-04-23 14:42
SaPowd大大寫到:
假如可以的話,你可以先預設
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP
iptables -t nat -P OUTPUT DROP
請問啊,前三行是丟棄預設的規則
那後三行呢???
小弟不大了解呢??
可否麻煩大大解釋呢???
感謝
主題: [問題]請問iptables的規則????
作者: SaPow2004-04-23 15:40
引述: "zterry26"
SaPowd大大寫到:
假如可以的話,你可以先預設
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP
iptables -t nat -P OUTPUT DROP
請問啊,前三行是丟棄預設的規則
那後三行呢???
小弟不大了解呢??
可否麻煩大大解釋呢???
感謝


請參閱
http://linux.vbird.org/linux_server/0250simple_firewall.php#iptables_fllow_table
主題: [問題]請問iptables的規則????
作者: zterry262004-04-23 15:56
謝謝啦
大大