高手救我~

︶ㄣ喃喃

我在iptables 下做了这样的策略
# load modules if necessary

modprobe ip_tables

# modprobe ip_conntrack

# modprobe ip_conntrack_ftp

# modprobe ip_conntrack_irc

# disable all chains

iptables -F

iptables -t nat -F

iptables -t mangle -F

# define default policy

iptables -P FORWARD DROP

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

# allow all localhost

iptables -A INPUT -i lo -j ACCEPT

# allow ssh
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 10000 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 113 -j ACCEPT

iptables -A INPUT -p icmp -d 192.168.245.128 -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP

iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP

iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

iptables -N synfoold

iptables -A synfoold -p tcp --syn -m limit --limit 1/s -j RETURN

iptables -A synfoold -p tcp -j REJECT --reject-with tcp-reset

iptables -A INPUT -p tcp -m state --state NEW -j synfoold
#log

# iptables -A INPUT -p tcp -d 0.0.0.0/24 -j LOG --log-prefix "DROP_AAA__
" --log-level info

# iptables -A INPUT -p tcp --dport 1:65535 -j LOG --log-prefix "DROP_BBB
__ " --log-level info

# allow old connection and deny new connection

iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT


iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP

事后不能上网了 FTP 也打不开了 但其它服务都可以
在www下连接的ftp也能打开
那个高手指点以下啊
谢谢拉