• CentOS 6.x iptables默认配置解析


      Centos 6.x 自带的iptables作为系统本地防火墙功能非常强大。现在我们来看看它的默认配置的具体含义。

      Centos 6.x iptables 默认配置如下:   

    [root@localhost ~]# cat /etc/sysconfig/iptables
    # Firewall configuration written by system-config-firewall
    # # Manual customization of this file is not recommended.
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    -A INPUT -j REJECT --reject-with icmp-host-prohibited
    -A FORWARD -j REJECT --reject-with icmp-host-prohibited
    COMMIT

            iptables -L -v 显示如下:

    [root@wsbapp ~]# iptables -L -n
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination         
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination

    *filter
    --------
    表示下面的内容是属于filter这个规则表。filter这个规则表主要是进行封包过滤的。

    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    ----------------------
    表示filter表中三个规则链INPUT、FORWARD、OUTPUT的默认规则为ACCEPT。

    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -------------------------------------------------------
    RELATED 表示该封包是属于某个已经建立的连接所建立的新连接。
    ESTABLISHED 表示该封包属于某个已经建立的连接。
    这条规则表示属于ESTABLISHED,RELATED两种连接状态的封包允许进入。意思是允许进入的数据包只能是刚刚我发出去的数据包的回应。

    -A INPUT -p icmp -j ACCEPT
    --------------------------
    允许协议为icmp的封包进入。

    -A INPUT -i lo -j ACCEPT
    ------------------------
    允许本地回环接口(即允许本机访问本机)。

    -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    ----------------------------------------------------------------
    允许通过22端口连接管理本机。

    -A INPUT -j REJECT --reject-with icmp-host-prohibited
    -----------------------------------------------------
    这条规则拒绝所有INPUT连接。并且发送一条host prohibited的消息给被拒绝的主机。--reject-with的作用是定义返回错误包的类型。

    -A FORWARD -j REJECT --reject-with icmp-host-prohibited
    -------------------------------------------------------
    这条规则拒绝所有FORWARD转发。并且发送一条host prohibited的消息给被拒绝的主机。

  • 相关阅读:
    [Noi2011]阿狸的打字机
    Bzoj3530: [Sdoi2014]数数
    Bzoj2037: [Sdoi2008]Sue的小球
    Bzoj4869: [Shoi2017]相逢是问候
    Bzoj1899: [Zjoi2004]Lunch 午餐
    Bzoj3884: 上帝与集合的正确用法
    UVA10692:Huge Mods
    Bzoj1009: [HNOI2008]GT考试
    Bzoj1212: [HNOI2004]L语言
    【国家集训队2012】tree(伍一鸣)
  • 原文地址:https://www.cnblogs.com/caoyibin/p/14688621.html
Copyright © 2020-2023  润新知