Fedora5下iptables的一个奇怪的问题

smallcat28

以下是我的iptables文件。
2 *filter
3 :INPUT DROP [60:12538]
4 :FORWARD DROP [0:0]
5 :OUTPUT ACCEPT [1916:1503739]
6
7 -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
8
9 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
10
11 -A INPUT -s 127.0.0.1 -p tcp -m tcp --dport 25 -j ACCEPT
12 -A INPUT -s 127.0.0.1 -p udp -m udp --dport 53 -j ACCEPT
13 -A INPUT -s 127.0.0.1 -p tcp -m tcp --dport 53 -j ACCEPT
14 -A INPUT -s 127.0.0.1 -p tcp -m tcp --dport 110 -j ACCEPT
15 -A INPUT -s 127.0.0.1 -p tcp -m tcp --dport 443 -j ACCEPT
16 -A INPUT -s 127.0.0.1 -p tcp -m tcp --dport 3001 -j ACCEPT
17 -A INPUT -s 127.0.0.1 -p tcp -m tcp --dport 3306 -j ACCEPT
18
19 -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
20 -A INPUT -p udp -m udp --dport 68 -j ACCEPT
21 -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
22 -A INPUT -p tcp -m tcp --dport 6688 -j ACCEPT
23 COMMIT

在iptables中，lo表示回环地址，即127。0。0。1
我是用宽带上网，外网接口是eth0。
可奇怪的是，我用
－A INPUT －i lo -－j ACCEPT，
就会出现不管回环和外网都可以进入的问题。
如果不用lo，只用eht0，又会出现ACCEPT规则不起作用的问题。
搞的我最后只有用上面这种方式来设置。

还有一个问题，就是我的
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
这条规则也不起作用。在使用ftp的时候，只能建立连接，不能传输数据，被动连接进不来。

smallcat28

why? no one know?

hellwolf

第二个问题是你需要加载ip_nat_ftp模块，在/etc/sysconfig/iptables-config中的IPTABLES_MODULES字段设置，或者自己加载

第一个问题不知道你在说什么

smallcat28

我想说的就是，比如我的机器开了80端口。
/etc/sysconfig/iptables中内容如下
:INPUT DROP [60:12538]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1916:1503739]
－A INPUT －i lo －j ACCEPT
此时
nc -v 61.52.43.55 80
可以建立连接。（61。52。43。55 是我的外网ip地址，是河南网通宽带拨号分配的地址）
如果我的iptables文件是下面的：
:INPUT DROP [60:12538]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1916:1503739]
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
我通过
nc -v 61.52.43.55 80
却又不可以建立连接了。

hellwolf

事情是很明显的，因为你连接的61.52.43.55就是你的本机地址，然后内核网络协议栈就通过lo传回本机，默认是DROP的，所以如果你不用-i lo ACCEPT那连本机就连不到了。OK？