设为首页收藏本站

LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
LinuxSir.cn,穿越时空的Linuxsir!»论坛 运维技术 —— LinuxSir.cn 网络技术\网络安全讨论 最近学习IPTABLES,有兴趣者请进来说话,谁是谁非,等你定 ...
1234下一页
返回列表 发新帖
查看: 4212|回复: 33

最近学习IPTABLES,有兴趣者请进来说话,谁是谁非,等你定论(多问题跟贴)

[复制链接]
发表于 2003-8-22 11:52:33 | 显示全部楼层 |阅读模式
首先第一个问题:
对于-j jump,大家知道,这里的jump可以是DROP,ACCEPT,REJECT,QUEUE,LOG或自定义的东西.
问题:
iptables的规则是一条接一条,
遇到DROP和ACCEPT,都是就地正法,
还是DROP才就地正法,ACCEPT接受后面规则的考验?
回复

使用道具 举报

Snoopy
发表于 2003-8-22 12:00:11 | 显示全部楼层
就地正法是什么意思?马上生效?
回复 支持 反对

使用道具 举报

 楼主| 发表于 2003-8-22 12:08:06 | 显示全部楼层
相应的链就会接受检验(examined)﹐以决定那个封包的命运。如果链说 DROP 掉这个封包﹐那么它就会就地正法﹐但如果链说 ACCEPT 这个封包﹐那么它就继续在规则链中穿越。

以上这句话说法正确吗?
回复 支持 反对

使用道具 举报

 楼主| 发表于 2003-8-22 12:38:14 | 显示全部楼层
=========>下面来自<简体中文HOWTO>的资料
穿越 INPUT 链的封包不会有传出(output)界面的﹐所以﹐任何在链中使用 `-o' 选项的规则都不与之符合。同样的﹐穿越 OUTPUT 链的封包也不会有传入(input)界面﹐所以在链中任何带 `-i' 选项的规则也是不符合的就是了。

=========>下面来自< Linux防火墙探密>第200页
#禁止来自回环地址的包
iptables -A INPUT -i eth1 -s lo -j DROP
iptables -A OUTPUT -i eth1 -s lo -j DROP
(说明:eth1是通向internet外网卡)

====>问题:明显两个说法矛盾,其中来自< Linux防火墙探密>第200页的例子不只一处.
回复 支持 反对

使用道具 举报

 楼主| 发表于 2003-8-22 13:50:41 | 显示全部楼层
--icmp-type
对应的序号如:0,3,8,11
和下列怎么对应?
destination-unreachable
   network-unreachable
   host-unreachable
   protocol-unreachable
   port-unreachable
   fragmentation-needed
   source-route-failed
   network-unknown
   host-unknown
   network-prohibited
   host-prohibited
   TOS-network-unreachable
   TOS-host-unreachable
   communication-prohibited
   host-precedence-violation
   precedence-cutoff
source-quench
redirect
   network-redirect
   host-redirect
   TOS-network-redirect
   TOS-host-redirect
echo-request (ping)
router-advertisement
router-solicitation
time-exceeded (ttl-exceeded)
   ttl-zero-during-transit
   ttl-zero-during-reassembly
parameter-problem
   ip-header-bad
   required-option-missing
timestamp-request
timestamp-reply
address-mask-request
address-mask-reply
回复 支持 反对

使用道具 举报

 楼主| 发表于 2003-8-22 16:20:21 | 显示全部楼层
又一个基本问题:
我在防火墙上的FORWARD策略是DROP,iptables规则里关于FORWARD出现DROP是否是画蛇添足?
我在防火墙上的FORWARD策略是ACCEPT,iptables规则里关于FORWARD出现ACCEPT是否也是画蛇添足?
回复 支持 反对

使用道具 举报

 楼主| 发表于 2003-8-22 17:55:27 | 显示全部楼层
再一个基本问题:
iptables -A FORWARD -i ppp0 -m state --state NEW -j DROP
是不是说internet不可以和内网建立新的连接,包括和http服务器的请求。
和下面规则有什么区别:
iptables -A FORWARD -p tcp -i ppp0 --syn  -d 210.35.92.73 -j DROP

因为迷惑的东西实在太多,希望大家多回贴。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2003-8-22 18:13:48 | 显示全部楼层
=========>下面来自<简体中文HOWTO>的资料“关于设计封包过滤的建议”
如果您的内部网路有一段 10.1.1.0/24 的地址﹐同时有一个来自该地址的封包却从外部界面进入﹐那它就会被丢弃掉。它可以为一个界面(如 ppp0) 设起来﹐如﹕
# echo 1 > /proc/sys/net/ipv4/conf/ppp0/rp_filter
#
或是全部现有及将有的界面﹐如﹕
# for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
#     echo 1 > $f
# done
#

=========>下面来自< Linux防火墙探密>第199页
大开保护IP欺骗并打开原地址验证实现的脚本:
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
     echo 0 > $f
done

=======>得出两者的说法完全mao dun.
回复 支持 反对

使用道具 举报

 楼主| 发表于 2003-8-22 19:39:25 | 显示全部楼层
=========>下面来自< Linux防火墙探密>第199页
关闭源路由表:

for f in /proc/sys/net/ipv4/conf/*/accept_source_router; do
echo 0 > $f
done

可是我用cat看了一下:
# cat /proc/sys/net/ipv4/conf/*/accept_source_route
0
1
1
1
大部分是打开的,关闭源路由到底有什么用?
回复 支持 反对

使用道具 举报

 楼主| 发表于 2003-8-22 19:43:00 | 显示全部楼层
据说:
echo 1> /proc/sys/net/ipv4/tcp_syscookies可以打开TCP SYN保护,
不知道:什么是TCP SYN保护?

而很多书的iptables实例不讲这个,只打开ipforward。
回复 支持 反对

使用道具 举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表