新手学习iptables的疑问

suran

1. 
   
2. Chain INPUT (policy DROP)
   
3. target     prot opt source               destination         
   
4. ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
   
5. ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
   
6. ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 4672,4665
   
7. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:4662
   
8. 
   
9. Chain FORWARD (policy DROP)
   
10. target     prot opt source               destination         
    
11. 
    
12. Chain OUTPUT (policy DROP)
    
13. target     prot opt source               destination         
    
14. ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
    
15. ACCEPT     udp  --  0.0.0.0/0            61.233.65.3         udp dpt:53
    
16. ACCEPT     udp  --  0.0.0.0/0            211.98.192.3        udp dpt:53
    
17. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 22,80,443,873,6667
    
18. ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
    
19. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 3000,3389,6000,6690,8000
    
20. ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 4242,4500,4662,50000
    

复制代码

上面是我的iptables配置，我的主机在局域网内部，停用iptables的时候可以获取高ID，用上边这个配置开启iptables时只能获得LowID,这个要怎么解决?

cclnw

你这台电脑是在网络的哪个位置啊 ？

是网关才有最高 id的
吧 路由表发上来看看

cclnw

配置防火墙要全关
再一个一个开
你默认已经设置了DORP
为什么连里面要设置全开呢？

sipingal

自己的机器为什么要配置output chain? 似乎多此一举

给你个我的例子给你参考

1. $ sudo iptables -L
   
2. Chain INPUT (policy DROP)
   
3. target     prot opt source               destination         
   
4. DROP       all  --  anywhere             anywhere            state INVALID
   
5. ACCEPT     all  --  anywhere             anywhere            
   
6. ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
   
7. ACCEPT     icmp --  anywhere             anywhere            
   
8. LOG        tcp  --  anywhere             anywhere            tcp dpt:22 state NEW limit: avg 12/hour burst 5 LOG level warning prefix `SSH CONNECTION: '
   
9. ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:22 state NEW limit: avg 12/hour burst 5
   
10. [... 涉及隐私，故省略... ]
    
11. Chain FORWARD (policy ACCEPT)
    
12. target     prot opt source               destination         
    
13. 
    
14. Chain OUTPUT (policy ACCEPT)
    
15. target     prot opt source               destination

复制代码

suran

Post by cclnw;2059570
配置防火墙要全关
再一个一个开
你默认已经设置了DORP
为什么连里面要设置全开呢？

哪里有全开啊.....
你说的是OUTPUT,INPUT中的第一条吗？

suran

Post by sipingal;2059572
自己的机器为什么要配置output chain? 似乎多此一举

给你个我的例子给你参考

1. $ sudo iptables -L
   
2. Chain INPUT (policy DROP)
   
3. target     prot opt source               destination         
   
4. DROP       all  --  anywhere             anywhere            state INVALID
   
5. ACCEPT     all  --  anywhere             anywhere            
   
6. ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
   
7. ACCEPT     icmp --  anywhere             anywhere            
   
8. LOG        tcp  --  anywhere             anywhere            tcp dpt:22 state NEW limit: avg 12/hour burst 5 LOG level warning prefix `SSH CONNECTION: '
   
9. ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:22 state NEW limit: avg 12/hour burst 5
   
10. [... 涉及隐私，故省略... ]
    
11. Chain FORWARD (policy ACCEPT)
    
12. target     prot opt source               destination         
    
13. 
    
14. Chain OUTPUT (policy ACCEPT)
    
15. target     prot opt source               destination

复制代码

嗯，我试一下
另外又学到一条归则“INVALID”，看来要多看看其他人的归则才行