当前位置: 技术问答>linux和unix
我刚开始接触iptables,有几个初级问题
来源: 互联网 发布时间:2015-04-15
本文导语: 在我的etc/sysconfig/iptables这个文件中,保存着iptables简单规则的配置情况。其中有几行不明白: 一、 -A INPUT -j RH-Lokkit-0-50-INPUT 其中 RH-Lokkit-0-50-INPUT为什么取这个名字,Lokkit-0-50有什么含义吗? 为什么不直接使...
在我的etc/sysconfig/iptables这个文件中,保存着iptables简单规则的配置情况。其中有几行不明白:
一、
-A INPUT -j RH-Lokkit-0-50-INPUT
其中
RH-Lokkit-0-50-INPUT为什么取这个名字,Lokkit-0-50有什么含义吗?
为什么不直接使用INPUT,出于什么考虑使用RH-Lokkit-0-50-INPUT?
二、
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
其中lo是什么含义,好像应该写eth0之类的
三、
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j REJECT
-m tcp是什么含义?
另外这是配置表中最后一句,为什么只禁止syn的包?
而不是禁止所有的包?
(我前面已经放行了目标端口为80、21、22的包,我想除80、21、22之外的所有包都应该REJECT掉,而不只是REJECT syn包,对吗?)
一、
-A INPUT -j RH-Lokkit-0-50-INPUT
其中
RH-Lokkit-0-50-INPUT为什么取这个名字,Lokkit-0-50有什么含义吗?
为什么不直接使用INPUT,出于什么考虑使用RH-Lokkit-0-50-INPUT?
二、
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
其中lo是什么含义,好像应该写eth0之类的
三、
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j REJECT
-m tcp是什么含义?
另外这是配置表中最后一句,为什么只禁止syn的包?
而不是禁止所有的包?
(我前面已经放行了目标端口为80、21、22的包,我想除80、21、22之外的所有包都应该REJECT掉,而不只是REJECT syn包,对吗?)
|
一。RH-Lokkit-0-50-INPUT
去研究名字没有什么意义吧,我估计意思是这样:RH=redhat ,lokkit=? 锁? ,0-50=端口范围 ,input=input链(也就是入口链),其实名字取什么都可以,主要是看里面的内容是什么啊!
二。lo 是内部环回,地址一般是 127.0.0.1 。-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
也就是说接受lo 的包。
三。-m 是标志的意思,这里细说你可能就不懂了,总之做了标志,那么可以倍其他程序使用这个规则,最重要的就是被策略路由使用。 --syn 是tcp的一个标志位,在发起请求的时候它一定被置1,所以拦截了这样的包就表示不接受别人的握手请求了。这样别人不能握手,就自然不能使用tcp来攻击你了啊。这是比较严厉的防火墙规则(安全就是原因啊)。
“而不是禁止所有的包? ”禁止所有包那你不是不能使用网络了??:)
去研究名字没有什么意义吧,我估计意思是这样:RH=redhat ,lokkit=? 锁? ,0-50=端口范围 ,input=input链(也就是入口链),其实名字取什么都可以,主要是看里面的内容是什么啊!
二。lo 是内部环回,地址一般是 127.0.0.1 。-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
也就是说接受lo 的包。
三。-m 是标志的意思,这里细说你可能就不懂了,总之做了标志,那么可以倍其他程序使用这个规则,最重要的就是被策略路由使用。 --syn 是tcp的一个标志位,在发起请求的时候它一定被置1,所以拦截了这样的包就表示不接受别人的握手请求了。这样别人不能握手,就自然不能使用tcp来攻击你了啊。这是比较严厉的防火墙规则(安全就是原因啊)。
“而不是禁止所有的包? ”禁止所有包那你不是不能使用网络了??:)