NetBuddy.Org论坛 - 问个 iptables的问题(问题已经解决，不要回复了）


	欢迎访客 ( 登陆 \| 注册 )

NetBuddy.Org论坛 ->技术论坛 ->UNIX论坛

问个 iptables的问题(问题已经解决，不要回复了）

« 上一篇主题 | 下一篇主题 »

跟踪主题 | 邮寄主题 | 打印主题

带脚镣跳舞

1. 问个 iptables的问题(问题已经解决，不要回复了）

HP : 73 / 733

MP : 405 / 11111

EXP : 34%

名动江湖

成员等级: 30
发表总数: 1215
金币总数: 571
所属组别: 核心成员
注册日期: 2003/09/27

OS:FC4
[root@localhost ~]# service iptables status
防火墙已停
[root@localhost ~]# service iptables start
[root@localhost ~]# service iptables status
防火墙已停

我启动了iptables 但是状态显示是stop

无论iptables启动与否
iptables 手工设置的ACL都有效果

只是从一个状态切换到另一个状态的时候
规则链会被清空

1:我没有启动iptables这个服务,为何iptabls过滤规则能起作用
2:我启动了iptables这个服务，但是状态却显示是停止

凡是纸马的帖子一定要看
凡是纸马的帖子一定要顶

签名
--------------
两个凡是把个人崇拜进行到底

发表于2007/12/17, 12:59

ghost

2. Re:问个 iptables的问题

HP : 92 / 924

MP : 715 / 15978

EXP : 98%

名动江湖

成员等级: 37
发表总数: 2147
金币总数: 198
所属组别: 核心成员
注册日期: 2003/01/3

1. 写一个脚本，就是你手工加载的规则，让它自动运行。
2.不一定起来了，请看日志。
ps -ef |grep iptables 找找进程

发表于2007/12/17, 18:18

带脚镣跳舞

3. Re:问个 iptables的问题

HP : 73 / 733

MP : 405 / 11111

EXP : 34%

名动江湖

成员等级: 30
发表总数: 1215
金币总数: 571
所属组别: 核心成员
注册日期: 2003/09/27

测试了一下

[root@localhost selinux]# service iptables stop

[root@localhost selinux]# service iptables status
防火墙已停
[root@localhost selinux]# ps -ef |grep iptables
root 3891 3691 0 19:00 pts/0 00:00:00 grep iptables

[root@localhost selinux]# service iptables start

[root@localhost selinux]# ps -ef |grep iptables
root 3904 3691 0 19:00 pts/0 00:00:00 grep iptables

[root@localhost selinux]# service iptables status
防火墙已停

无论我用启动还是停止,该进程始终存在,是不是这个iptables和进程的iptables不是一回事

再看这一步测试,
setup
选择防火墙配置
启用

[root@localhost selinux]# service iptables stop
清除防火墙规则： [ 确定 ]
把 chains 设置为 ACCEPT 策略：filter [ 确定 ]
正在卸载 Iiptables 模块： [ 确定 ]

[root@localhost selinux]# service iptables status
防火墙已停

[root@localhost selinux]# service iptables start
应用 iptables 防火墙规则：
[ 确定 ]
[root@localhost selinux]# service iptables status
表格：filter
Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

在看这样一个测试
在setup里禁用防火墙之后,测试了下对ICMP报文的过滤
[root@localhost selinux]# iptables -t filter -A INPUT -s 192.168.1.22 -p icmp -j DROP
无论service iptables stop (start) 该ACL有效

在setup 里开启了防火墙
service iptables start
iptables -t filter -A INPUT -s 192.168.1.22 -p icmp -j DROP
该ACL无效
service iptables stop
该ACL有效果

ghost看看好象这两个iptables不是一回事呀~~~

service iptables start (stop/status)
控制的是setup防火墙里的配置

iptables这个命令好象又是控制其中某一个部分的
在防火墙起作用的时候,iptables的命令加的ACL只是后续的接在后面

[root@localhost selinux]# service iptables status
表格：filter
Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
DROP icmp -- 192.168.1.22 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

兄弟们指点一下

凡是纸马的帖子一定要看
凡是纸马的帖子一定要顶

签名
--------------
两个凡是把个人崇拜进行到底

发表于2007/12/17, 19:29

xxbin

4. Re:问个 iptables的问题

HP : 1029 / 1715

MP : 4140 / 29674

EXP : 62%

rotartsinimdA

成员等级: 69
发表总数: 12421
金币总数: 433
所属组别: 管理员
注册日期: 2003/01/1

还是不要玩LINUX或者类UNIX的东东好

iptables只是userspace下的一个netfilter控制程序，firewall是否启用都不应该在ps中看到这个进程；

/etc/init.d/iptables是一个启动脚本，这个脚本start/stop/status无效可能是某个配置文件没有开启iptables支持的缘故，可以sh -x /etc/init.d/iptables start看看到底是哪个IF条件没有满足报的firewall stoped; 当然，这个参数是可以用setup来控制滴，只是你不知道写到哪个文件而已，偶估计应该是/etc/sysconfig/iptables，新版本的RH木有用过，好像很垃圾的样子，还支持SB一样的中文，好像还是一个TW人翻译的，INTERFACE = 界面？HAHA

至于你说的ICMP的ACL无效，明显就是你自己的错误，仔细再看看

Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
DROP icmp -- 192.168.1.22 0.0.0.0/0

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255

唉，LINUX真的不是每个人都能玩的，中文的RH，你还是用XP算了

xxbin@netbuddy.org

发表于2007/12/17, 20:57

带脚镣跳舞

5. Re:问个 iptables的问题

HP : 73 / 733

MP : 405 / 11111

EXP : 34%

名动江湖

成员等级: 30
发表总数: 1215
金币总数: 571
所属组别: 核心成员
注册日期: 2003/09/27

TMD 我是一个猪脑子呀 (大脑一时短路)
难怪小兵要鄙视我

QUOTE

[root@localhost selinux]# ps -ef |grep iptables
root 3891 3691 0 19:00 pts/0 00:00:00 grep iptables

QUOTE

至于你说的ICMP的ACL无效，明显就是你自己的错误，仔细再看看

Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
DROP icmp -- 192.168.1.22 0.0.0.0/0

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255

唉，LINUX真的不是每个人都能玩的，中文的RH，你还是用XP算了

QUOTE

在防火墙起作用的时候,iptables的命令加的ACL只是后续的接在后面

QUOTE

iptables -t filter -A INPUT -s 192.168.1.22 -p icmp -j DROP

ACL不起作用我明显知道原因的哼哼!!!禁止以技压人

上面一段文字我是需要的

感谢嘿嘿

凡是纸马的帖子一定要看
凡是纸马的帖子一定要顶

签名
--------------
两个凡是把个人崇拜进行到底

发表于2007/12/17, 22:19

xxbin

6. Re:问个 iptables的问题

HP : 1029 / 1715

MP : 4140 / 29674

EXP : 62%

rotartsinimdA

成员等级: 69
发表总数: 12421
金币总数: 433
所属组别: 管理员
注册日期: 2003/01/1

土人
就知道-A
不知道-I

xxbin@netbuddy.org

发表于2007/12/18, 00:03

带脚镣跳舞

7. RE: 问个 iptables的问题

HP : 73 / 733

MP : 405 / 11111

EXP : 34%

名动江湖

成员等级: 30
发表总数: 1215
金币总数: 571
所属组别: 核心成员
注册日期: 2003/09/27

QUOTE

土人
就知道-A
不知道-I

明明知道I 只是用来测试下的
555555555555555
不要打击晚辈

哼哼

凡是纸马的帖子一定要看
凡是纸马的帖子一定要顶

签名
--------------
两个凡是把个人崇拜进行到底

发表于2007/12/18, 00:47

jkfh

8. Re:问个 iptables的问题

HP : 77 / 771

MP : 456 / 10246

EXP : 84%

名动江湖

成员等级: 31
发表总数: 1368
金币总数: 299
所属组别: 高级成员
注册日期: 2004/05/16

XX说，建议大家与linux离得清楚些，让我无法体会那空中楼阁的滋味，可是放着那么多的应用和相关的职位，以及背后的高待遇，怎么说，它也歪锐颇费神啂。

------------------
让我拿什么去耐你。。。。

发表于2007/12/18, 08:36

xxbin

9. Re:问个 iptables的问题

HP : 1029 / 1715

MP : 4140 / 29674

EXP : 62%

rotartsinimdA

成员等级: 69
发表总数: 12421
金币总数: 433
所属组别: 管理员
注册日期: 2003/01/1

unix like OS
基础是什么？
shell script & c language

有了这两个基础
基本上不会有太多问题

open source的unix like OS最好的书就是code

xxbin@netbuddy.org

发表于2007/12/18, 10:32

带脚镣跳舞

10. RE: 问个 iptables的问题

HP : 73 / 733

MP : 405 / 11111

EXP : 34%

名动江湖

成员等级: 30
发表总数: 1215
金币总数: 571
所属组别: 核心成员
注册日期: 2003/09/27

QUOTE

unix like OS
基础是什么？
shell script & c language

有了这两个基础
基本上不会有太多问题

open source的unix like OS最好的书就是code

按照你的说法,不会写代码,或者是看代码,那这UNIX,LINUX学了也会有很多问题!!!

不苟同

凡是纸马的帖子一定要看
凡是纸马的帖子一定要顶

签名
--------------
两个凡是把个人崇拜进行到底

发表于2007/12/18, 12:00

xxbin

11. Re:问个 iptables的问题

HP : 1029 / 1715

MP : 4140 / 29674

EXP : 62%

rotartsinimdA

成员等级: 69
发表总数: 12421
金币总数: 433
所属组别: 管理员
注册日期: 2003/01/1

学shell script很花时间么？
c很难么？

学好了这两样
才真正能深入Linux

xxbin@netbuddy.org

发表于2007/12/18, 16:28

jkfh

12. Re:问个 iptables的问题

HP : 77 / 771

MP : 456 / 10246

EXP : 84%

名动江湖

成员等级: 31
发表总数: 1368
金币总数: 299
所属组别: 高级成员
注册日期: 2004/05/16

语言，学好语法比较重要，即能够退而结网。

------------
其实我们需要很多的指导。
一艘船光有大副、二副也是不成滴。

发表于2007/12/19, 08:32

xxbin

13. RE: 问个 iptables的问题

HP : 1029 / 1715

MP : 4140 / 29674

EXP : 62%

rotartsinimdA

成员等级: 69
发表总数: 12421
金币总数: 433
所属组别: 管理员
注册日期: 2003/01/1

QUOTE

语言，学好语法比较重要，即能够退而结网。

------------
其实我们需要很多的指导。
一艘船光有大副、二副也是不成滴。

语言
语法是最次要的东东
不同的语言
语法不同

但是不同的语言的精髓是一样滴

xxbin@netbuddy.org

发表于2007/12/19, 11:13

jkfh

14. Re:问个 iptables的问题

HP : 77 / 771

MP : 456 / 10246

EXP : 84%

名动江湖

成员等级: 31
发表总数: 1368
金币总数: 299
所属组别: 高级成员
注册日期: 2004/05/16

在我看来，XX 虽然对于linux的操作很娴熟，但也有苦大仇深的时候。
这不免让吾等小辈有些寒~~~~

偶知道，有时候，在某些问题面前，谁都充满着无奈，小胖也不例外。
但有一点，是什么样的环境在催生着linux？

----------
貌似反垄断者说

发表于2007/12/20, 09:11

xxbin

15. Re:问个 iptables的问题

HP : 1029 / 1715

MP : 4140 / 29674

EXP : 62%

rotartsinimdA

成员等级: 69
发表总数: 12421
金币总数: 433
所属组别: 管理员
注册日期: 2003/01/1

说实话
偶对任何UNIX Like OS的操作都不够娴熟

LINUX，从接触到现在已经10年
操作上的东东，不太感兴趣

声卡配置、显卡配置，更是差不多一窍不通，当然，偶买了N770之后这方面有所改善

对脚镣
因为熟悉
说话也就带着打击的意味
不熟的人
偶也不会如此

苦大仇深
是有一点的
更多的是失望
现在的Linux
或许和FREEBSD 5.x的状况差不多

加入了很多新的理念
也同时加入了很多不够成熟的东西
这段时间的确对Linux或者当前的BSD版本很失望的

回头看95年出的BSD
偶倒是可能会选择老的
驱动没有
自己移植吧

每个人对OS都有自己的理解
这和每个人的经历有关
初学者可能更在乎Linux是否能驱动自己的显卡声卡

偶也不例外
记得偶第一块显卡——S3 375
就是因为Linux支持才选择这块显卡

经过这么多时间
早已经过了玩X-Windows程序、配置各种HTTP/FTP/MAIL服务的阶段
或许是因为工作的关系
OS对于我来说
最重要的是构架、原理甚至是我所关注的部分的每个细节每行代码

NETFILTER框架
是一个相当消耗资源的架构
但是大多数人都是从这里入手——配置、调试、优化...直到放弃

偶只是对那些希望能够在Linux上有所发展或者想以此赚银子的人提出偶所认为的最好建议而已
从代码入手，去了解你所想了解的东西，过上几年，相比一同起步的人，解决问题的能力，肯定是超出其他人的

就如同LZ所问的这个问题
只要把/etc/init.d/iptables这个SHELL script读一遍，就不会有这个帖子存在了

xxbin@netbuddy.org

发表于2007/12/20, 15:12

jkfh

16. Re:问个 iptables的问题

HP : 77 / 771

MP : 456 / 10246

EXP : 84%

名动江湖

成员等级: 31
发表总数: 1368
金币总数: 299
所属组别: 高级成员
注册日期: 2004/05/16

so ...?

because ,ah...

i still here .

thanks XXBIN.

---------------------------
i'm a little boy.

and you?