iptables配置文件.docVIP

iptables配置文件 RH 的 /etc/sysconfig/iptables 文件，为 iptables-save 生成的格式。 *nat 开始处理nat表 REROUTING ACCEPT [5278:800028] PREROUTING 链的默认策略为ACCEPT（接受/允许），即 -tnat -P PREROUTING ACCEPT。方括号内是本链引用计数，即通过本链的有5278个包，共800028字节。 OSTROUTING ACCEPT [5278:800028] POSTROUTING 链的默认策略为ACCEPT，即 -t nat -P POSTROUTING ACCEPT :OUTPUT ACCEPT [5278:800028] OUTPUT 链的默认策略为接受，即 -t nat -P OUTPUT ACCEPT QUOTE: -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 61.133.202.70 添加一SNAT规则，从eth1 外发的、源地址为192.168.0.0/24网络的数据包将被修改为好像从 61.133.202.70 发出。 COMMIT nat表处理结束，以下部分不再属于 nat 表 *filter 开始处理 filter 表 :INPUT ACCEPT [5278:800028] :FORWARD ACCEPT [5278:800028] :OUTPUT ACCEPT [5278:800028] :RH-Firewall-1-INPUT [5278:800028] 定义一个自定义链，名称为RH-Firewall-1-INPUT -A INPUT -j RH-Firewall-1-INPUT所有输入数据包都转到 RH-Firewall-1-INPUT 链处理 -A FORWARD -j RH-Firewall-1-INPUT所有转发数据包都转到 RH-Firewall-1-INPUT 链处理 -A RH-Firewall-1-INPUT -i lo -j ACCEPT在 RH-Firewall-1-INPUT 链中添加规则，接受由本地环回接口进入的所有数据包 -A RH-Firewall-1-INPUT -i eth0 -j ACCEPT 接受由网络接口 eth0 进入的所有数据包 -A RH-Firewall-1-INPUT -i eth1 -j ACCEPT 接受由网络接口 eth1 进入的所有数据包 -A RH-Firewall-1-INPUT -p icmp -m icmp any -j ACCEPT 接受所有 ICMP 协议的数据包 -A RH-Firewall-1-INPUT -p esp -j ACCEPT 接受所有 IPSec ESP 协议的数据包 -A RH-Firewall-1-INPUT -p ah -j ACCEPT 接受所有 IPSec AH 协议的数据包 -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 接受所有状态标记为 RELATED 或 ESTABLISHED 的数据包 -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 接受所有目标端口为 80 的 TCP 新连接数据包 -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT 接受所有目标端口为 21 的 TCP 新连接数据包 -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 接受所有目标端口为 22 的 TCP 新连接数据包 -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited 其余数据包一律拒绝，并以 icmp-host-prohibited 数据包回应 COMMIT filter表处理完毕 -A INPUT -s 219.150.13.170 -j DROP -A INPUT -s 220.115.251.1 -j DROP -A INPUT -s 211.115.68.55 -j DROP 还是在 filter 表里处理，丢弃源地址为219.150.13.170、220.115.251.1、