菊花论坛--IT认证家园 » 『 Unix网络技术』 » 《 Linux专版》 » IPTables 配置文件

查看完整版本: IPTables 配置文件

赵高 2008-3-23 13:40

IPTables 配置文件

RH 的 /etc/sysconfig/iptables 文件，为 iptables-save 生成的格式。

*nat 开始处理nat表
:PREROUTING ACCEPT [5278:800028] PREROUTING 链的默认策略为ACCEPT（接受/允许），即 -tnat -P PREROUTING ACCEPT。方括号内是本链引用计数，即通过本链的有5278个包，共800028字节。
:POSTROUTING ACCEPT [5278:800028] POSTROUTING 链的默认策略为ACCEPT，即 -t nat -P POSTROUTING ACCEPT
:OUTPUT ACCEPT [5278:800028]  OUTPUT 链的默认策略为接受，即 -t nat -P OUTPUT ACCEPT

QUOTE:
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 61.133.202.70

添加一SNAT规则，从eth1 外发的、源地址为192.168.0.0/24网络的数据包将被修改为好像从 61.133.202.70 发出。
COMMIT  nat表处理结束，以下部分不再属于 nat 表

*filter  开始处理 filter 表
:INPUT ACCEPT  [5278:800028]
:FORWARD ACCEPT [5278:800028]
:OUTPUT ACCEPT [5278:800028]
:RH-Firewall-1-INPUT [5278:800028] 定义一个自定义链，名称为RH-Firewall-1-INPUT
-A INPUT -j RH-Firewall-1-INPUT所有输入数据包都转到 RH-Firewall-1-INPUT 链处理
-A FORWARD -j RH-Firewall-1-INPUT所有转发数据包都转到 RH-Firewall-1-INPUT 链处理
-A RH-Firewall-1-INPUT -i lo -j ACCEPT在 RH-Firewall-1-INPUT 链中添加规则，接受由本地环回接口进入的所有数据包
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT  接受由网络接口 eth0 进入的所有数据包
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT  接受由网络接口 eth1 进入的所有数据包
-A RH-Firewall-1-INPUT -p icmp -m icmp any -j ACCEPT  接受所有 ICMP 协议的数据包
-A RH-Firewall-1-INPUT -p esp -j ACCEPT  接受所有 IPSec ESP 协议的数据包
-A RH-Firewall-1-INPUT -p ah -j ACCEPT  接受所有 IPSec AH 协议的数据包
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  接受所有状态标记为 RELATED 或 ESTABLISHED 的数据包
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT  接受所有目标端口为 80 的 TCP 新连接数据包
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT  接受所有目标端口为 21 的 TCP 新连接数据包
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT  接受所有目标端口为 22 的 TCP 新连接数据包
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited  其余数据包一律拒绝，并以 icmp-host-prohibited 数据包回应
COMMIT  filter表处理完毕

-A INPUT -s 219.150.13.170 -j DROP
-A INPUT -s 220.115.251.1 -j DROP
-A INPUT -s 211.115.68.55 -j DROP  还是在 filter 表里处理，丢弃源地址为219.150.13.170、220.115.251.1、211.115.68.55 的数据包。
这三行是手工加上去的了，不是 iptables-save 生成的。

aizsby1314 2008-4-20 23:20

好贴，学习了
:loveliness:

Annie 2008-6-12 10:56

学习 IP tables，一定要搞清它的工作模式，这里有篇文档，比较详细的介绍了IPTables的工作原理，结合楼主的例子，会体会的更深刻些。有问题就问吧

[url]http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables[/url]

Michael_Mei 2008-8-29 23:12

在Ubuntu下如何可以打开这个文件呢？

页: [1]

查看完整版本: IPTables 配置文件