注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

梦想之鹰的天空

天高任鸟飞......放飞....心情..........放飞.....梦想

 
 
 

日志

 
 

IPTables 配置文件  

2013-08-03 15:58:34|  分类: Linux |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
RH 的 /etc/sysconfig/iptables 文件,为 iptables-save 生成的格式。

*nat 开始处理nat表
:PREROUTING ACCEPT [5278:800028] PREROUTING 链的默认策略为ACCEPT(接受/允许),即 -tnat -P PREROUTING ACCEPT。方括号内是本链引用计数,即通过本链的有5278个包,共800028字节。
:POSTROUTING ACCEPT [5278:800028] POSTROUTING 链的默认策略为ACCEPT,即 -t nat -P POSTROUTING ACCEPT
:OUTPUT ACCEPT [5278:800028]  OUTPUT 链的默认策略为接受,即 -t nat -P OUTPUT ACCEPT

QUOTE:
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 61.133.202.70

添加一SNAT规则,从eth1 外发的、源地址为192.168.0.0/24网络的数据包将被修改为好像从 61.133.202.70 发出。
COMMIT  nat表处理结束,以下部分不再属于 nat 表


*filter  开始处理 filter 表
:INPUT ACCEPT  [5278:800028]
:FORWARD ACCEPT [5278:800028]
:OUTPUT ACCEPT [5278:800028]
:RH-Firewall-1-INPUT [5278:800028] 定义一个自定义链,名称为RH-Firewall-1-INPUT
-A INPUT -j RH-Firewall-1-INPUT所有输入数据包都转到 RH-Firewall-1-INPUT 链处理
-A FORWARD -j RH-Firewall-1-INPUT所有转发数据包都转到 RH-Firewall-1-INPUT 链处理
-A RH-Firewall-1-INPUT -i lo -j ACCEPT在 RH-Firewall-1-INPUT 链中添加规则,接受由本地环回接口进入的所有数据包
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT  接受由网络接口 eth0 进入的所有数据包
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT  接受由网络接口 eth1 进入的所有数据包
-A RH-Firewall-1-INPUT -p icmp -m icmp any -j ACCEPT  接受所有 ICMP 协议的数据包
-A RH-Firewall-1-INPUT -p esp -j ACCEPT  接受所有 IPSec ESP 协议的数据包
-A RH-Firewall-1-INPUT -p ah -j ACCEPT  接受所有 IPSec AH 协议的数据包
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  接受所有状态标记为 RELATED 或 ESTABLISHED 的数据包
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT  接受所有目标端口为 80 的 TCP 新连接数据包
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT  接受所有目标端口为 21 的 TCP 新连接数据包
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT  接受所有目标端口为 22 的 TCP 新连接数据包
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited  其余数据包一律拒绝,并以 icmp-host-prohibited 数据包回应
COMMIT  filter表处理完毕

-A INPUT -s 219.150.13.170 -j DROP
-A INPUT -s 220.115.251.1 -j DROP
-A INPUT -s 211.115.68.55 -j DROP  还是在 filter 表里处理,丢弃源地址为219.150.13.170、220.115.251.1、211.115.68.55 的数据包。
这三行是手工加上去的了,不是 iptables-save 生成的。
  评论这张
 
阅读(414)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017