我用的是ubuntu linux,安装了php5,apache2,mysql4,以及iptables最新版!
在没有添加策略前能正常访问!
我参照cu上一个关于iptables的ppt文档,还有录音的那个!
里面有有一个关于设置普通服务器的策略:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
在使用前我用iptables -F 倾空了已有的策略!
里面第二条运行后出错,大意是没有相应的选项,情参照帮助的意思!
所以我用了这两条代替:
iptables -A INPUT -p tcp -d 80 -j ACCEPT
iptables -A INPUT -p tcp -d 22 -j ACCEPT
运行完毕后,我在服务器上的浏览器窗口里运行:192.168.1.5/bbs,能够看到bbs的主页,是正常显示的,但是点击上面的链接却都显示无法找到相应的文件(而文件是存在的)!
请教下,这是怎么回事?
另:如果我要更改默认策略,是不是只要重新打一下,譬如:iptables -P INPUT ACCEPT
如果我还想开ftp服务,是不是再增加这样一条策略:iptables -A INPUT -p ftp -d 21 -j ACCEPT
求助:关于普通服务器的iptables的几条策略!
-
gaer
- 帖子: 18
- 注册时间: 2006-05-17 10:48
-
ak74
- 帖子: 82
- 注册时间: 2006-05-20 0:41
首先我建议您好好看看iptables的手册。
第一个问题:
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT 出错。可能是因为你的内核中没有对Multiport matching地支持。(请列出错误提示原文!)
只要增加内核配置项
Networking
->Networking support
->Networking options
->Network packet filtering
->IP:Netfilter Configuration
-> IP tables support (required for filtering/masq/NAT)
->[ ]Multiple port match support
第二个问题:
文件不存在,与防火墙无关,可能是你的web链接有问题。
第三个问题:
您的理解完全错了。
iptables -A INPUT -p ftp !!!!(没有这样的规则)
iptables -A INPUT -p tcp (udp,icmp) 这里是协议,ftp只是port。-d 后面跟的是地址不是端口号!
您可以这样用:iptables -A INPUT -p tcp --dport ftp -j ACCEPT
(不过这不一定就能保证您可以正常使用ftp服务,取决于您的ftp服务器是主动方式还是被动……)。
我还是强烈的建议您好好看看iptables的指南!!!!您似乎完全没有理解iptables的概念和规则。
第一个问题:
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT 出错。可能是因为你的内核中没有对Multiport matching地支持。(请列出错误提示原文!)
只要增加内核配置项
Networking
->Networking support
->Networking options
->Network packet filtering
->IP:Netfilter Configuration
-> IP tables support (required for filtering/masq/NAT)
->[ ]Multiple port match support
第二个问题:
文件不存在,与防火墙无关,可能是你的web链接有问题。
第三个问题:
您的理解完全错了。
iptables -A INPUT -p ftp !!!!(没有这样的规则)
iptables -A INPUT -p tcp (udp,icmp) 这里是协议,ftp只是port。-d 后面跟的是地址不是端口号!
您可以这样用:iptables -A INPUT -p tcp --dport ftp -j ACCEPT
(不过这不一定就能保证您可以正常使用ftp服务,取决于您的ftp服务器是主动方式还是被动……)。
我还是强烈的建议您好好看看iptables的指南!!!!您似乎完全没有理解iptables的概念和规则。
-
firehare
- 帖子: 2625
- 注册时间: 2005-04-10 16:54
- 来自: 温州大学
- 联系:
-
networker
- 帖子: 419
- 注册时间: 2006-02-06 21:06
- 来自: Shanghai,China
- 联系:
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*mangle
:PREROUTING ACCEPT [4713:553271]
:INPUT ACCEPT [4444:531047]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
:POSTROUTING ACCEPT [35:4484]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*nat
:PREROUTING ACCEPT [996:143348]
:POSTROUTING ACCEPT [7:578]
:OUTPUT ACCEPT [7:578]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*filter
:INPUT ACCEPT [4413:527431]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
=====================================================================
这是我自己写的规则,用做个人pc,斑竹帮我看看是不是有要改的或者不妥当的地方。谢谢。
*mangle
:PREROUTING ACCEPT [4713:553271]
:INPUT ACCEPT [4444:531047]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
:POSTROUTING ACCEPT [35:4484]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*nat
:PREROUTING ACCEPT [996:143348]
:POSTROUTING ACCEPT [7:578]
:OUTPUT ACCEPT [7:578]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*filter
:INPUT ACCEPT [4413:527431]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
=====================================================================
这是我自己写的规则,用做个人pc,斑竹帮我看看是不是有要改的或者不妥当的地方。谢谢。
-
5451vs5451
- 帖子: 345
- 注册时间: 2006-07-14 18:56
- 来自: Apple Valley, Planet Tux, Linux System
POLICY全都是ACCEPT,后面的写了也白写。networker 写了:# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*mangle
:PREROUTING ACCEPT [4713:553271]
:INPUT ACCEPT [4444:531047]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
:POSTROUTING ACCEPT [35:4484]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*nat
:PREROUTING ACCEPT [996:143348]
:POSTROUTING ACCEPT [7:578]
:OUTPUT ACCEPT [7:578]
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
# Generated by iptables-save v1.3.1 on Wed Jun 7 10:40:35 2006
*filter
:INPUT ACCEPT [4413:527431]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:4484]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
COMMIT
# Completed on Wed Jun 7 10:40:35 2006
=====================================================================
这是我自己写的规则,用做个人pc,斑竹帮我看看是不是有要改的或者不妥当的地方。谢谢。
-
networker
- 帖子: 419
- 注册时间: 2006-02-06 21:06
- 来自: Shanghai,China
- 联系:
jerry@Ubuntu:~$ cat iptables.2006.7.24
# Generated by iptables-save v1.3.3 on Mon Jul 24 22:09:04 2006
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [700775:247896804]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID,NEW -j DROP
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Jul 24 22:09:04 2006
后面补充过了没帖上来。
# Generated by iptables-save v1.3.3 on Mon Jul 24 22:09:04 2006
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [700775:247896804]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID,NEW -j DROP
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Jul 24 22:09:04 2006
后面补充过了没帖上来。
-
5451vs5451
- 帖子: 345
- 注册时间: 2006-07-14 18:56
- 来自: Apple Valley, Planet Tux, Linux System
开这么多服务干嘛?连DNS都有,你的PC要做域名服务器?networker 写了:jerry@Ubuntu:~$ cat iptables.2006.7.24
# Generated by iptables-save v1.3.3 on Mon Jul 24 22:09:04 2006
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [700775:247896804]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 77 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID,NEW -j DROP
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Jul 24 22:09:04 2006
后面补充过了没帖上来。
-
networker
- 帖子: 419
- 注册时间: 2006-02-06 21:06
- 来自: Shanghai,China
- 联系:
-
5451vs5451
- 帖子: 345
- 注册时间: 2006-07-14 18:56
- 来自: Apple Valley, Planet Tux, Linux System
-
networker
- 帖子: 419
- 注册时间: 2006-02-06 21:06
- 来自: Shanghai,China
- 联系:
-
5451vs5451
- 帖子: 345
- 注册时间: 2006-07-14 18:56
- 来自: Apple Valley, Planet Tux, Linux System
-
networker
- 帖子: 419
- 注册时间: 2006-02-06 21:06
- 来自: Shanghai,China
- 联系: