RH 的 /etc/sysconfig/iptables 文件,为 iptables-save 生成的格式。
*nat 开始处理nat表
REROUTING ACCEPT [5278:800028] PREROUTING 链的默认策略为ACCEPT(接受/允许),即 -tnat -P PREROUTING ACCEPT。方括号内是本链引用计数,即通过本链的有5278个包,共800028字节。
OSTROUTING ACCEPT [5278:800028] POSTROUTING 链的默认策略为ACCEPT,即 -t nat -P POSTROUTING ACCEPT
:OUTPUT ACCEPT [5278:800028] OUTPUT 链的默认策略为接受,即 -t nat -P OUTPUT ACCEPT
QUOTE:
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 61.133.202.70
添加一SNAT规则,从eth1 外发的、源地址为192.168.0.0/24
网络的数据包将被修改为好像从 61.133.202.70 发出。
COMMIT nat表处理结束,以下部分不再属于 nat 表
*filter 开始处理 filter 表
:INPUT ACCEPT [5278:800028]
:FORWARD ACCEPT [5278:800028]
:OUTPUT ACCEPT [5278:800028]
:RH-Firewall-1-INPUT [5278:800028] 定义一个自定义链,名称为RH-Firewall-1-INPUT
-A INPUT -j RH-Firewall-1-INPUT所有输入数据包都转到 RH-Firewall-1-INPUT 链处理
-A FORWARD -j RH-Firewall-1-INPUT所有转发数据包都转到 RH-Firewall-1-INPUT 链处理
-A RH-Firewall-1-INPUT -i lo -j ACCEPT在 RH-Firewall-1-INPUT 链中添加规则,接受由本地环回接口进入的所有数据包
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT 接受由网络接口 eth0 进入的所有数据包
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT 接受由网络接口 eth1 进入的所有数据包
-A RH-Firewall-1-INPUT -p icmp -m icmp any -j ACCEPT 接受所有 ICMP 协议的数据包
-A RH-Firewall-1-INPUT -p esp -j ACCEPT 接受所有 IPSec ESP 协议的数据包
-A RH-Firewall-1-INPUT -p ah -j ACCEPT 接受所有 IPSec AH 协议的数据包
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 接受所有状态标记为 RELATED 或 ESTABLISHED 的数据包
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 接受所有目标
端口为 80 的 TCP 新连接数据包
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT 接受所有目标端口为 21 的 TCP 新连接数据包
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 接受所有目标端口为 22 的 TCP 新连接数据包
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited 其余数据包一律拒绝,并以 icmp-host-prohibited 数据包回应
COMMIT filter表处理完毕
-A INPUT -s 219.150.13.170 -j DROP
-A INPUT -s 220.115.251.1 -j DROP
-A INPUT -s 211.115.68.55 -j DROP 还是在 filter 表里处理,丢弃源地址为219.150.13.170、220.115.251.1、211.115.68.55 的数据包。
这三行是手工加上去的了,不是 iptables-save 生成的。
