[问题求助]请教 RHEL4防火墙配置 问题 [复制链接]

这是RHEL4的默认ipt.ables配置[成人用品]

*filter
:INPUT ACCEPT [.0:0]健康
:.FORWARD ACCEPT [0:0]外贸
:OUTPUT ACCEPT [0:0].电影
:RH-Firewal.l-1-INPUT - [0.:0]
-A INPUT -..j RH-Firewall-1-INPUT虚拟主机
-A FORWA.RD .-j RH-Firewall-1-INPUT[成人用品]
-A RH-Firewall-1-INPUT -i lo. -j AC.CEPT           鲜花
-A RH-Firew.all-1-INPUT. -i eth0 -j ACCEPT.
-A RH-Firewall-1-I.NPUT -p icmp --icm.p-type any -j ACCEPT域名
-A RH-Fir.ewall-1-INPUT -p 50 -j ACC.EPT--------------彩票
-A RH-Firewall-1-INP.UT -p 51 -j. ACCEPT.
-A RH-Firewall-1-I.NPUT -p udp --dport 5353 -d 224.0..0.251 -j ACCEPT健康
-A RH-Fire.wall-1-INPUT -p udp -.m udp --dport 631 -j ACCEPT.
-A RH-Firewall-1-INPUT -m state --state ESTA.BLISHED,RELATED -.j ACCEPT(        游戏          )
-A R.H-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --.dport 22 -.j ACCEPT健康
-A RH-Firew.all-1-INPUT -.j REJECT --reject-with icmp-host-prohibited           鲜花

现在我想只.开放22 和 8080端口,我新增一条            杀毒
-A RH-Firewall-1-INPUT -m state. --st.ate NEW -m tcp -p tcp --d.port 8080 -j ACCEPT.

可是我在telnet 这个机器的25端口.的.时候仍然是可以连接的.

请问各位高手.，这个配置.是不是能关闭所有为配置的端口啊?电脑

应该在INPUT链配制，FROWARD是针对转发的数据的。

QUOTE:原帖由 ssffzz1 于 2007-7-19 12:16 发表
应该在INPUT链配制，FROWARD是针对转发的数据的。


就是在INPUT链配置的啊?这是怎么回事呢?

:INPUT ACCEPT [0:0]这句的规则是允许，当然就允许了。
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT  这句也允许了。

QUOTE:原帖由 ssffzz1 于 2007-7-19 12:26 发表
:INPUT ACCEPT [0:0]这句的规则是允许，当然就允许了。
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
...


:INPUT DROP [0:0]这句的规则是允许，当然就允许了。
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
#-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT  这句也允许了。

改成这样了，还是不行啊

[root@localhost init.d]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     ipv6-crypt--  anywhere             anywhere
ACCEPT     ipv6-auth--  anywhere             anywhere
ACCEPT     udp  --  anywhere             224.0.0.251         udp dpt:5353
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ipp
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

这里有一条
ACCEPT     all  --  anywhere             anywhere
这是哪条规则起的作用啊?

你的默认策略全是ACCEPT

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere


建议你重新审查一下防火墙规则，顺便看看置顶的IPTABLES帖子。