[问题求助]帮我看看下面的iptables策略，其中几句是为什么？ [复制链接]

上一主题下一主题查看指定楼层

离线georgezhang.

初中三年级

发帖: 2009

C币: -60878

威望: 370

贡献值: 1

银元: 0

铜钱: 4467

人人网人气币: 0

只看楼主倒序阅读使用道具楼主发表于: 2009-05-01

[.root@firewal.l rc.d]# netstat -ln.
A.ctive Internet connections (only serv.ers)电影
Proto Recv-Q Send-Q Local Address Foreign Addres.s S.tate              汽车
tcp 0 .0 0.0.0.0:80 0.0.0.0.:* LISTEN 电影
tcp 0 0 1.92.168.0.25.4:53 0.0.0.0:* LISTEN            女人
tcp 0 0 127.0..0.1:53 0.0.0.0:* LISTEN. (        游戏          )
tcp 0 0 0.0..0.0:22 0.0..0.0:* LISTEN [成人用品]
tcp 0 0 127.0.0.1:953 0.0..0.0:* .LISTEN .
udp 0 0 0.0.0.0:32768 0.0.0..0.:* 外贸
udp 0 0 .192.168.0.25.4:53 0.0.0.0:* <性病>
udp 0 0. 1.27.0.0.1:53 0.0.0.0:* (广告)
Active UNIX domain socke.ts (only .servers)              乙肝
Proto RefCnt F.lags Type State I-Node P.ath    外汇
unix. 2 [ ACC ] STREAM LISTENING 1369 /var/lib/mysql./mysql.sock域名
[root@fi.rewall rc.d]# ifco.nfig|more    美容
eth0 Link en.cap:Ethernet HWaddr 00:E0:4C:0.2:AE:72 .
          inet addr:192.168.1.254 Bcast:192..168.1..255 Mask:255.255.255.0    美容
          UP BROADCAST RUNNING M.ULTICAST MTU:1.500 Metric:1              乙肝
   .       RX packets:12839 errors:0 dropped:.0 overruns:0 frame:0.
          TX packet.s:7273 errors.:0 dropped:0 overruns:0 carrier:0.
          colli.sions:0 .txqueuelen:100 教育
          RX bytes:7395232 (7.0. Mb) TX bytes:650938 (635.6 Kb.)--------------彩票
          Interrupt.:11 Base addre.ss:0x9f00 健康

eth1 Link encap:Ethernet HWaddr 000:F8:0E:AE:C3 http://upload.bbs.csuboy.com/Mon_1004/126_6894_3b01f95722f71e9.gif[/img]           建材
          inet addr:192.168.0.254 Bcast:192.168.0.255 Mask:.2.55.255.255.0--- 印刷
          UP BROADCAST RUNNING MUL.TICAS.T MTU:1500 Metric:1[成人用品]
          RX packets:14797 erro.rs:0 dropped:0 overruns:0 frame:.0电影
          TX packets:12.502 errors:0 dropped:0 overru.ns:6 carrier:0学习
    .      collisions:0 .txqueuelen:100 .
          RX bytes:1353708 (1.2 Mb) TX bytes:7837216 (7.4 ..Mb).
          .Interrupt:12 Base address:0xbe00. 电脑

lo.. Link encap:Local Loopback              汽车
          inet addr:127.0.0.1 Mask:255.0.0...0虚拟主机
          UP LOOPBACK RUNNING MTU:164.36 Metr.ic:1投资
          RX packets:57.4 errors:0 drop.ped:0 overruns:0 frame:0教育
.      .   TX packets:574 errors:0 dropped:0 overruns:0 carrier:0.
.         col.lisions:0 txqueuelen:0 虚拟主机
          RX byte.s:65881 (64.3 Kb) TX byt.es:65881 (64.3 Kb)           鲜花
其中，其上运行ssh,ap.ache,bind.....且bind只监听e.th1接口；.
下面是我的防火墙策略：），我将其放在/et.c./rc.d/rc.local中           鲜花
****************************.*******.******************              乙肝
#模块加载
/sbin/modprobe ip._conntrack_f.tp           鲜花
/s.bin/modprobe ip_nat_ftp           建材
#刷新iptables策略
iptables -F
iptables -t n.at -F    健康
iptabl.es -t mangle -F.
#将filter各表的默认.策略设为DROP学习
iptables -P INPUT DRO.P    外汇
iptables -P FOR.WARD DROP             电子
iptables -.P OUTPUT DROP.
#在支持ip转发的.情况下，允许内网ping通公网.
iptables -A FORWARD -s 192.168.0.0/24 -i eth1. -o eth0 -p icmp -j. ACCEPT(广告)
ipta.bles -A F.ORWARD -p icmp -m state --state ESTABLISHED,RELATED -i eth0 -j AC.CEPT.
#允许内网上网，收发邮件，ft.p,telnet,s.sh外网及OICQ.
iptables -A FORWARD -p tcp -s 192.168..0.0/24 --dport 80. -j ACCEPT外贸
iptables -A FORWARD .-p tcp -s 192.168.0..0/24 --dport 53 -j ACCEPT投资
iptables -A FORWARD -p. udp -s 192.168.0.0/24 --dport 53 -j. ACCEPT
iptables -A FORWARD -p tcp -..s 192.168.0.0/24 --dport 25 -j ACCEPT服务器
iptables -A FORWARD -p tcp -s 192.168.0..0/24 --dport 110. -j ACCEPT.
iptables -A F.ORWARD -p t.cp -s 192.168.0.0/24 --dport 21 -j ACCEPT             电子
iptables -A FORWARD -p udp -s. 192.168..0.0/24 --dport 20 -j ACCEPT域名
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 2..2 -j ACCEPT.
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 23 -j.. ACCEPT外贸
iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport. 8000 -j. ACCEPT服务器
iptables -A FORWARD -m state --state ESTABLISHED,REL.ATE.D -j ACCEPT投资
#允许本机接口，.及内网ping通eth1,eth0服务器
i.ptables -A INPUT -i lo -p all .-j ACCEPT.
iptables -A INPUT. -i eth1 -p icmp .-j ACCEPT虚拟主机
iptables -A INPUT -i. eth0 .-p icmp -m state --state ESTABLISHED,RELATED -j ACCE.PT            杀毒
iptables -A OUTPUT -p icmp -j ACCEP..T(        游戏          )

#允许内网或外.网用户联结本机ssh,apache,bind服务..
iptables -A INPU..T -p tcp --dport 22 -j ACCEPT健康
iptable.s -A OUTPUT -p tcp --sport 22 -j ACC.EPT投资
iptable.s -A INPUT -p tcp --dport 80 -.j ACCEPT           建材
iptables .-A OUTPUT -p tcp --s.port 80 -j ACCEPT.
iptables -A INPUT -p tc..p --dport 53 -j ACCEPT           女人
ipta.bles -A INPUT -p u.dp --dport 53 -j ACCEPT           鲜花
iptables -A OUTPUT -p tcp -.-sport 53 -.j ACCEPT健康
iptabl.es -A OUTPUT -p udp --sport 53 -j .ACCEPT(广告)
iptables -A OUTPUT -p tcp --sp.ort 1024: .-j ACCEPT健康
i.ptables -A OUTPUT -p udp --sport 1024:. -j ACCEPT.
iptables -A INPUT -p tcp -m state --state ESTABLISHED,.RELATED -m tcp --.dport 10.24: -j ACCEPT.
iptables -A I.NPUT -p udp -m state --state ESTABLISHED,RE.LATED -m udp --d.port 1024: -j ACCEPT
#iptables日志记录
iptables -A. INPUT -s 0/0 -d 0/0 .-p icmp -j LOG          婚庆
iptables -A .INPUT -p tcp -m multiport --de.stination-port 22,135,137,138,139. -j LOG服务器
iptables -A INPUT -p udp -m multiport --dest.ination-po.rt 22,1.35,137,138,139 -j LOG域名
iptables -A INPUT -p tcp --dp.ort 1023: -.j LOG           鲜花
iptabl.es -A INPUT -p udp --dport 1023: -j .LOG           鲜花
#支持ip转发
echo 1 >; /pr.oc/sys/n.et/ipv4/ip_forward电脑
*********************..******************************(        游戏          )

其中为了bind能够正常解析，我研究了很长时间;在其.它服务都能够正常工作的前提下，我只有加入以下四句，bind才能够正常.工作：             汽车
ip.tables -A .OUTPUT -p tcp --sport 1024: -j ACCEPT电脑
iptabl.es -A OUTPUT -p udp --sport 10.24: -j ACCEPT外贸
ipta.bles -A INPUT -p tcp -.m state --state ESTA.BLISHED,RELATED -m tcp --dport 1024: -j ACCEPT健康
iptables -A INPUT -p udp -m st.at.e --state ESTABLISHED,RELATED -m udp --dport 1024: -j ACCEP.T电影
能解释一下为什么吗？
似.乎当客户端发起DNS解析请求时，本机发现自己不能解析，便要向上级DNS服务器.查询，要用到上面几句话？           女人
另外，上面的脚本是否安全，很菜的问.题：）.
<br>;