[问题求助]请教iptables的问题 [复制链接]

-m state -.-state 状态.
状态：NEW、REL.AT.ED、ESTABLISHED、INVALID虚拟主机
NEW：有别于.tcp 的syn           女人
ESTABLISHED：连.接态    外汇
REL.ATED.：衍生态，与conntrack 关联（FTP）--- 印刷
INVALID：不能.被识别属于哪个连接.或没有任何状态            杀毒
例如：
iptables -A. I.NPUT -m state --state RELATED,ESTABLISHED \学习
-j ACCEPT

这个-m 参数我还是不明白.....哪位高手能给我解释的清楚一点吗?谢谢.(广告)

对于刚发起的连接，状态的 NEW
对于已经建立的连接的连接，状态是 ESTABLISHED
对于像 FTP 那样通过协议派生出来的附加端口产生的连接，状态是 RELATED（需要对 FTP 的工作原理了解）

-A INPUT –p tcp --dport 20 –j ACCEPT
　　-A OUTPUT –p tcp --sport 20 –j ACCEPT
-A INPUT –p tcp --dport 21 –j ACCEPT
　　-A OUTPUT –p tcp --sport 21 –j ACCEPT

他和上面的区别又是什么呢

QUOTE:原帖由 mdjhaitao 于 2006-9-22 11:28 发表
-A INPUT –p tcp --dport 20 –j ACCEPT
　　-A OUTPUT –p tcp --sport 20 –j ACCEPT
-A INPUT –p tcp --dport 21 –j ACCEPT
　　-A OUTPUT –p tcp --sport 21 –j ACCEPT

他和上面的区别又是什么呢

你指什么？谁和谁的区别？
如果说前两句和后两句的区别，区别就是端口不同
如果说与上面 state 的区别。。。。二者没任何关系啊
你指的是什么？

我的意思是如果做开放21 .20 端口.用
-A INPUT –p tcp --dport 20 –j ACCEPT
　　-A OUTPUT –p tcp --sport 20 –j ACCEPT
-A INPUT –p tcp --dport 21 –j ACCEPT
　　-A OUTPUT –p tcp --sport 21 –j ACCEPT
这个就够了对吧.
可是为什么我到还有加这个设置的呢
-m state --state 状态
状态：NEW、RELATED、ESTABLISHED、INVALID
NEW：有别于tcp 的syn
ESTABLISHED：连接态
RELATED：衍生态，与conntrack 关联（FTP）
INVALID：不能被识别属于哪个连接或没有任何状态
例如：
iptables -A INPUT -m state --state RELATED,ESTABLISHED \
-j ACCEPT

加这个 是为了什么呢。不加可不可以呢加了又有什么好处呢

iptables -A INPUT -m state --state RELATED -j ACCEPT
目的是让类似 FTP 那种衍生连接进入的

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
目的是让自己发起的对外连接的回包进入的

对于你上面说的那几条命令，我想你一定没有好好看过 PPT 和置顶的 FAQ，除非你明确知道你在干什么，知道如何控制，否则不要去动 OUTPUT 链

我目前了解的。因为我是在服务器上做防火墙.而不是在在一个专门的机器上来做防火墙.
所以我觉得.只用INPUT就够了.对吧.那个数据流向图我是看懂了的。.

老大我的问题.我还是不太清楚。请你在帮我解释一下.谢谢。我是刚学3天.很多都不太懂.
都是我自己的理解.也许不太正确。.麻烦你了。嘿嘿

QUOTE:原帖由 platinum 于 2006-9-22 14:25 发表

这次你说对了 ^_^



老大你能不能弄一个真对我这样的防火墙的配置.给我例子
就是/etc/sysconfig/iptables
这个的配置.我学习一下
谢谢了。要不我还是有点迷糊的。虽然明白了一些.可是毕竟时间短.有的还不太懂.