iptables 问题

hw227

ptables -A INPUT -p tcp -s 192.168.0.22 -m state --state ESTABLISHED -j accept

iptables -A INPUT -p tcp -s 192.168.0.22 -m state --state NEW -j drop

这两条命令的作用一样吗？
                                                     谢谢

liweioop

不一样！
第二条：允192.168.0.22这个地址向自己主机提出连接请求的数据包被丢弃
第一条：对192.168.0.22这个地址已建立连接的所有数据包接受！

以上综合的结果就是：你可以主动接到192.168.0.22(如果对方也允许的话)，而对方192.168.0.22却无法能主动的连接上你的机器！(好自私^_^)

******************
发帖不要指明请教哪个人，指名什么问题，这样有利于其他人的学习！
如果不是kevin老师就不能回答了？网上是藏龙之处！不过我也只是小鸟

kissingwolf

答的好!

hw227

谢谢大家

hw227

我想问的是：如果先禁止所有联接
iptables -p INPUT DROP
iptables -p OUTPUT DROP
iptables -p FORWARD DROP

上面两条命令的任何一条是否都能起到阻止192.168.0.22进来的连接

wiq

第一条接受来自192.168.0.22的已经建立tcp连接的数据包，不起阻止作用。
第二条丢弃来自192.168.0.22的请求建立新的tcp连接的数据包。

hw227

谢谢各位的帮助

hw227

还有一个问题请教大家：服务器允许网段访问ipop3端口
iptables -p INPUT DROP
iptables -p OUTPUT DROP
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 110 -j accept
iptables -A OUTPUT -p tcp -s 192.168.0.0/24 --sport 110 -j accept  


和下面的效果一样吗
iptables -A INPUT -p tcp -s ！192.168.0.0/24 --dport 110 -j drop
iptables -A OUTPUT -p tcp -s ！192.168.0.0/24 --sport 110 -j drop

wiq

昨天没仔细琢磨，晚上回去想了想，觉得弄错了，特更正如下：
效果不一样。要一样只能将后面的改成下面4条，但这样就太繁琐了且不易理解。我比较喜欢先定义policy为drop，然后添加accept的规则。

iptables -A INPUT -p tcp -s ！192.168.0.0/24 -j drop
iptables -A INPUT -p tcp  --dport ！110 -j drop
iptables -A OUTPUT -p tcp -d ！192.168.0.0/24 drop
iptables -A OUTPUT -p tcp --sport !110 -j drop

hw227

谢谢wiq