设为首页收藏本站

LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
LinuxSir.cn,穿越时空的Linuxsir!»论坛 Linux 发行版讨论区 —— LinuxSir.cn Redhat/Fedora/CentOS Linux 关于Linux防火墙设置问题!?
返回列表 发新帖
查看: 570|回复: 4

关于Linux防火墙设置问题!?

[复制链接]
hotren
发表于 2006-7-16 19:13:06 | 显示全部楼层 |阅读模式
新安装的redhat9系统,使用iptables进行过滤,设置如下:
Chain INPUT (policy DROP 108 packets, 12811 bytes)
pkts bytes target     prot opt in     out     source               destination         
    9   432 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:80
    5   684 ACCEPT     udp  --  *      *       202.106.196.115      0.0.0.0/0          udp spt:53 dpts:1025:65535
    0     0 ACCEPT     tcp  --  *      *       221.222.138.97        0.0.0.0/0          tcp dpt:22
  6807  281K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp flags:0x17/0x02 limit: avg 30/min burst 2

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 RH-Lokkit-0-50-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0         

Chain OUTPUT (policy ACCEPT 288K packets, 26M bytes)
pkts bytes target     prot opt in     out     source               destination           

为了保证主机的安全,目前我将所有的服务端口全部关闭了,只打开了一个地址的SSH,还有DNS和HTTP端口,由主机向外的的所有包未做过滤,目前我出现的问题是,从这台主机上直接从网上用wget下载东西,无法连接,我怀疑是回来的包被过滤掉了,但是不知道怎样设置才能正常,以下是使用wget的结果:
/usr/bin/wget http://mirror.vmmatrix.net/apach ... se-plugin-1.0.0.zip
--18:32:29--  http://mirror.vmmatrix.net/apach ... se-plugin-1.0.0.zip
           => `geronimo-eclipse-plugin-1.0.0.zip'
Resolving mirror.vmmatrix.net... done.
Connecting to mirror.vmmatrix.net[210.51.23.177]:80...

请教各位,谁能告诉我,谢谢,不胜感激!
回复

使用道具 举报

发表于 2006-7-16 19:23:21 | 显示全部楼层
好复杂……
我开个默认的防火墙,wget用得好好的。
回复 支持 反对

使用道具 举报

发表于 2006-7-16 19:29:43 | 显示全部楼层
看样子你的防火墙好像没有起到任何作用。你的入站好像也没有起到封锁的作用。
你能上网页吗?如果可以的话,那说明不是你的问题。
而且TCP的话,出站开放的话,对于已连接的网络,不存在回包被拦截的问题应该,因为TCP是面向连接的。只有UDP包可能有这个问题.
回复 支持 反对

使用道具 举报

hotren
 楼主| 发表于 2006-7-16 19:46:22 | 显示全部楼层
防火墙我已经确认过生效了,在当前配置下,INPUT链的默认操作是DROP,此时,我只有在我允许的IP地址可以使用SSH,其它的址均不可,通过以上我提供的wget命令显示结果看,地址解析也已经生效了,为了确认防火墙是否生效,我使用以下命令,将INPUT链的默认操作改为了ACCEPT;
对应命令:iptables -P INPUT ACCEPT
此操作之后,使用各主机地址均可远程登录及访问,从这台Linux主机上也可以ping通外部所有地址。之后再用以下命令将其默认操作改成DROP后,其它主机即不可再访问。
对应命令:iptables -P INPUT DROP
谢谢!期待回复,不胜感激!
回复 支持 反对

使用道具 举报

发表于 2006-7-16 23:41:46 | 显示全部楼层
至少在INPUT链最后加上这个吧:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
让自己发起的连接可以通过吧。要不然真的无法用wget firefox了。。。。
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表