
平臺論壇博客文庫

› 論壇 › 操作系統(tǒng) › Linux系統(tǒng)管理 › 關(guān)于iptables的問題

[網(wǎng)絡(luò)管理] 關(guān)于iptables的問題 [復(fù)制鏈接]

jieshuyang2004

白手起家

論壇徽章:: 1

電梯直達

1樓 [收藏(0)] [報告]

發(fā)表于 2008-09-26 14:02 |只看該作者 |倒序瀏覽

這是公司web服務(wù)器，iptables命令中的一條，當(dāng)用第一個的時候服務(wù)器上的pdf文件在下載過程中就會出現(xiàn)
中斷現(xiàn)象，當(dāng)用第二條命令是就能夠正常下載，有高手懂這兩個命令的區(qū)別么？謝謝。

1. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

2. -A RH-Firewall-1-INPUT -p tcp --dport 80 -j ACCEPT

文庫|博客

Apache官方強心劑：開源不受出口管理條例約束！
Linux基礎(chǔ)命令---lynx瀏覽器
Dell R740服務(wù)器設(shè)置磁盤直通,不做RAID虛擬磁盤陣列
Linux基礎(chǔ)命令---elinks文本瀏覽器
Linux基礎(chǔ)命令---wget下載工具

劍次狼

大富大貴

論壇徽章:: 0

2樓 [報告]

發(fā)表于 2008-09-26 15:41 |只看該作者

1.使用狀態(tài)匹配允許新未建立好的連接的第一個包通過80端口，而ESTABLISHED（已建立的連接，也就是已經(jīng)在內(nèi)核里注冊過的），RELATED（由已經(jīng)存在的、處于已建立狀態(tài)的連接生成的新連接）等等就按照你的默認策略執(zhí)行操作
所以下載到一半就斷了是很正常的

2.是進來本主機的80端口的數(shù)據(jù)包全放行。

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

jieshuyang2004

白手起家

論壇徽章:: 1

3樓 [報告]

發(fā)表于 2008-09-26 16:44 |只看該作者

原帖由 劍次狼 于 2008-9-26 15:41 發(fā)表
1.使用狀態(tài)匹配允許新未建立好的連接的第一個包通過80端口，而ESTABLISHED（已建立的連接，也就是已經(jīng)在內(nèi)核里注冊過的），RELATED（由已經(jīng)存在的、處于已建立狀態(tài)的連接生成的新連接）等等就按照你的默認策略執(zhí) ...

謝謝。不過還是不太明白為什么會中斷，能再詳細解釋下么？

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

jieshuyang2004

白手起家

論壇徽章:: 1

4樓 [報告]

發(fā)表于 2008-09-26 16:49 |只看該作者

回復(fù) #2 劍次狼的帖子

我把整個iptables貼一下，你說的默認策略指的是什么呢？

root@wwwsv1 ~]# more /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

劍次狼

大富大貴

論壇徽章:: 0

5樓 [報告]

發(fā)表于 2008-09-26 20:17 |只看該作者

原帖由 jieshuyang2004 于 2008-9-26 16:49 發(fā)表
我把整個iptables貼一下，你說的默認策略指的是什么呢？

root@wwwsv1 ~]# more /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of th ...

測試機跑了你的策略
在內(nèi)網(wǎng)環(huán)境測試了IE下載和wget下載80MB的文件正常，沒出現(xiàn)你所說的下載一半就丟棄了問題。
下載過程中拔掉網(wǎng)線再插上也沒出現(xiàn)此現(xiàn)象，禁用啟用網(wǎng)卡也沒事。
你再試試看，出現(xiàn)中斷時候抓下包看看。

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

jieshuyang2004

白手起家

論壇徽章:: 1

6樓 [報告]

發(fā)表于 2008-10-01 09:16 |只看該作者

原帖由 劍次狼 于 2008-9-26 20:17 發(fā)表

測試機跑了你的策略
在內(nèi)網(wǎng)環(huán)境測試了IE下載和wget下載80MB的文件正常，沒出現(xiàn)你所說的下載一半就丟棄了問題。
下載過程中拔掉網(wǎng)線再插上也沒出現(xiàn)此現(xiàn)象，禁用啟用網(wǎng)卡也沒事。
你再試試看，出現(xiàn)中斷時候抓 ...

謝謝你了！這兩天還是沒有查出問題，暫時將-m state --state NEW -m tcp 這部分去掉了，先保證用戶能正常下載。

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

返回列表

Chinaunix › 論壇 › 操作系統(tǒng) › Linux系統(tǒng)管理 › 關(guān)于iptables的問題

積分 0, 距離下一級還需積分

亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

[網(wǎng)絡(luò)管理] 關(guān)于iptables的問題 [復(fù)制鏈接]

回復(fù) #2 劍次狼 的帖子

回復(fù) #2 劍次狼的帖子