设为首页收藏本站

LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
LinuxSir.cn,穿越时空的Linuxsir!»论坛 Linux 发行版讨论区 —— LinuxSir.cn Debian Linux iptables的一个奇怪问题
返回列表 发新帖
查看: 742|回复: 5

iptables的一个奇怪问题

[复制链接]
areyouok
发表于 2006-7-26 13:56:23 | 显示全部楼层 |阅读模式
环境:etch,用putty通过SSH做远程操作
只要我用-s设置了源地址,例如:
iptables -A -p icmp -s 192.168.1.28 -j ACCEPT
接下来用iptables -L查看规则的时候,输出到这条指定了源地址的规则那里就堵塞了,要Ctrl+C或者Ctrl+Z才能退出:
sec-rd-debian:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             sec-rd-debian       tcp dpt:www
ACCEPT     tcp  --  anywhere             sec-rd-debian       tcp dpt:8118



sec-rd-debian:~#

但是使用iptables-save能把规则打印出来:

sec-rd-debian:~# iptables-save
# Generated by iptables-save v1.3.3 on Wed Jul 26 13:49:19 2006
*filter
:INPUT DROP [924:124443]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1584:203018]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -d 192.168.1.146 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 192.168.1.146 -p tcp -m tcp --dport 8118 -j ACCEPT
-A INPUT -s 192.168.1.28 -p icmp -j ACCEPT
COMMIT
# Completed on Wed Jul 26 13:49:19 2006
sec-rd-debian:~#

而我使用RH9的时候就没有这个问题,这是怎么回事,是否和SSH有关?
回复

使用道具 举报

发表于 2006-7-26 17:07:24 | 显示全部楼层
iptables --list -n

不要反向DNS解析试试看。
回复 支持 反对

使用道具 举报

areyouok
 楼主| 发表于 2006-7-26 17:32:50 | 显示全部楼层
明白了,谢谢
再请教一个问题,如果我想要允许这台debian机器进行DNS查询,规则应该怎么写?
似乎应该打开UDP,但是我不想开放所有端口
回复 支持 反对

使用道具 举报

发表于 2006-7-26 18:33:40 | 显示全部楼层
局域网吧?你现在有没有做DNS服务?
回复 支持 反对

使用道具 举报

发表于 2006-7-26 19:23:14 | 显示全部楼层
开放udp 53端口
回复 支持 反对

使用道具 举报

areyouok
 楼主| 发表于 2006-7-26 20:46:50 | 显示全部楼层
我是仅仅保护这台debian机器自己,这台机器在局域网里面
放开udp53和icmp已经可以ping了

我的想法是:
打开22端口,可以ssh
对同网段的机器开放80和8118(privoxy)端口
开放9050端口(tor)
可以ping,但是做阀值限制
需要使用apt,所有这台机器要能进行dns查询,同时可以让外来的非建立TCP连接的包通过。

现在配置如下,大家看看有什么问题。


sec-rd-debian:/etc/init.d# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  localnet/24          sec-rd-debian       tcp dpt:www
ACCEPT     tcp  --  localnet/24          sec-rd-debian       tcp dpt:8118
ACCEPT     icmp --  anywhere             anywhere            limit: avg 4/sec burst 5
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain
ACCEPT     tcp  --  anywhere             sec-rd-debian       tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:9050

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
sec-rd-debian:/etc/init.d#


已经可以apt了,但是tor还是不行,tor还要加一个
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:9050
才行,不知道为什么
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表