论坛风格切换切换到宽版
发帖 回复
返回列表
  • 591阅读
  • 9回复

[问题求助]防火墙ACCEPT all疑问 [复制链接]

 上一主题 下一主题
离线hrq456.
初中二年级
 
发帖
1935
C币
-61048
威望
359
贡献值
1
银元
-2
铜钱
4327
人人网人气币
0
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-01
iptab.les -L看到如下:学习
Chain INPUT (policy AC.CEPT.)(广告)
target     prot opt source               d.estina.tion         .
RH-.Firewall-1-INPUT  all  --  anywhere            . anywhere           虚拟主机

Chain FORWA.R.D (policy ACCEPT)电脑
target     prot opt source  .             destination.         .
RH-Fir.ewall-1-INPUT  all  --  anywhere             any.where           (        游戏          )

Chain OUTPUT (pol.icy A.CCEPT)           建材
target     prot opt source    ..           destination         域名

Chain RH-Firewall-1-INPUT (2 refer.enc.es)教育
target     pr..ot opt source               destination                     杀毒
AC.CEPT   all  --  anywhere             an.ywhere     电脑
ACCEPT   all  --  anywhere   anywhere.   state RELATED,ESTABLI.SHED .
ACCEPT   all  --.  218.1.1.10     .    anywhere           教育
REJECT    .all  --  anywhere   anywhere  reject-with icmp-host-prohib.it    美容

下面这句什么意思
target      .            .    prot opt source     destination       虚拟主机
RH-Firewall-1-INPUT  all. . --  anywhere    anywhere  
如果是全部.流.量都允许通过,那后面的规则就没有意义了,另外这句也是:外贸
Chain RH-.Firewal.l-1-INPUT (2 references).
target .    prot opt source.               destination         .
ACCEPT  . all  --  anywhere       .      anywhere.
评价一下你浏览此帖子的感受

精彩
感动
搞笑
开心
愤怒
无聊
灌水
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线modiyasi.
初中三年级
发帖
2086
C币
-235066
威望
392
贡献值
1
银元
-2
铜钱
4687
人人网人气币
0
只看该作者 沙发  发表于: 2010-04-13
Re:防火墙ACCEPT
偶来解释:

1、RH-Firewall-1-INPUT  all  --  anywhere    anywhere  
这句的意思只是所有的packet可以到达RH-Firewall-1-INPUT,并不是说所有的packet都被ACCEPT了;

2、Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination        
ACCEPT   all  --  anywhere             anywhere
这句应该是针对lo端口的设置,只是iptables -L不显示Interface而已,你可以用iptables-save验证一下。
回复
举报
离线cg678.
初中三年级
发帖
2019
C币
-60902
威望
330
贡献值
1
银元
-3
铜钱
4493
人人网人气币
0
只看该作者 板凳  发表于: 2010-04-13
Re:防火墙ACCEPT


QUOTE:2、Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination        
ACCEPT   all  --  anywhere             anywhere
这句应该是针对lo端口的设置,只是iptables -L不显示Interface而已,你可以用iptables-save验证一下。



iptables-save我运行后出错了,
[root@hehe root]# iptables -save
iptables v1.2.8: no command specified
Try `iptables -h' or 'iptables --help' for more information.
回复
举报
离线焊线.
初中三年级
发帖
2048
C币
-604756
威望
406
贡献值
4
银元
-1
铜钱
4678
人人网人气币
0
只看该作者 地板  发表于: 2010-04-13
Re:防火墙ACCEPT
"iptables-save" != "iptables -save"
回复
举报
离线51.vc.
初中三年级
发帖
2081
C币
-61510
威望
378
贡献值
1
银元
-2
铜钱
4652
人人网人气币
0
只看该作者 4楼 发表于: 2010-04-13
Re:防火墙ACCEPT


QUOTE:原帖由 platinum 于 2006-8-13 09:42 发表
"iptables-save" != "iptables -save"


谢谢,显示如下:
[root@DXDS-3 root]# iptables-save
# Generated by iptables-save v1.2.8 on Sun Aug 13 09:44:44 2006
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1757770942:539916851435]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
其中esp和ah是什么意思啊,我找了很多资料和书都没有找到这2个词,还有
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1757770942:539916851435]
:RH-Firewall-1-INPUT - [0:0]
也不懂什么意思,请教各位!
回复
举报
离线月无痕.
初中三年级
发帖
2143
C币
-60280
威望
395
贡献值
1
银元
-7
铜钱
4737
人人网人气币
0
只看该作者 5楼 发表于: 2010-04-13
Re:防火墙ACCEPT
esp 和 ah 是两种 IPSec 要用到的协议,具体可以去 google

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1757770942:539916851435]
:RH-Firewall-1-INPUT - [0:0]
这是定义链的,属于链的声明,如果是 iptables-save 格式,必须这么写
回复
举报
离线kulang.
初中三年级
发帖
2079
C币
-193360
威望
362
贡献值
1
银元
-2
铜钱
4629
人人网人气币
0
只看该作者 6楼 发表于: 2010-04-13
Re:防火墙ACCEPT


QUOTE:原帖由 platinum 于 2006-8-13 10:02 发表
esp 和 ah 是两种 IPSec 要用到的协议,具体可以去 google

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1757770942:539916851435]
:RH-Firewall-1-INPUT - [0:0]
这是定义链的,属于链的声 ...


这是定义链的,属于链的声 ...能否解析一下 [1757770942:539916851435]

[0:0]这些数字是什么意思吗.我找过网上一般的资料都没有介绍的,书上也没有,谢谢!!
回复
举报
离线dorgel.
初中三年级
发帖
2169
C币
-193168
威望
399
贡献值
1
银元
-1
铜钱
4859
人人网人气币
0
只看该作者 7楼 发表于: 2010-04-13
Re:防火墙ACCEPT
[packet:size]
[0:0] 就是都没有
这个数字仅是一个 counter 而已
回复
举报
离线aaer.
初中三年级
发帖
2090
C币
-152446
威望
394
贡献值
1
银元
-6
铜钱
4772
人人网人气币
0
只看该作者 8楼 发表于: 2010-04-13
Re:防火墙ACCEPT
是不是可以认为iptables -L的输出:
Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere          

和iptables-save的输出:
-A RH-Firewall-1-INPUT -i lo -j ACCEPT

是等价的呢??
回复
举报
离线youchouboy.
初中三年级
发帖
2074
C币
-193374
威望
371
贡献值
1
银元
-3
铜钱
4658
人人网人气币
0
只看该作者 9楼 发表于: 2010-04-13
Re:防火墙ACCEPT
iptables -L 看到的东西很不完整
iptables -vnL 显示出来的东西才应该是等价的
回复
举报
发帖 回复
返回列表
快速回复
限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
上一个 下一个