關(guān)于iptables的默認(rèn)配置

welcome008

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT


誰(shuí)能幫我解釋下，為什么要加：
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT這一行及
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 這一行？

有了:INPUT ACCEPT [0:0]
不是所有的連接都可以接入嗎？為什么要加上面兩行呢？謝謝！

joyclear

今天正好看了下iptables, 簡(jiǎn)單回答下，有錯(cuò)誤請(qǐng)指正
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT這一行及
針對(duì)剛出去通訊的返回，例如訪問(wèn)內(nèi)部（10000）訪問(wèn)公網(wǎng)一網(wǎng)站（80端口），必然有相應(yīng)80-->10000的返回通訊。

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 這一行？
開(kāi)放SSH

為什么有了:INPUT ACCEPT [0:0]還需要上面的，因?yàn)檫�有下面一條
-A INPUT -j REJECT --reject-with icmp-host-prohibited
所以如果沒(méi)有這條，那默認(rèn)策略應(yīng)該設(shè)置為 INPUT DROP

vermouth

全是允許，還加一條 -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT ？

lyhabc

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT這一行及
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 這一行？
state有，new，ESTABLISHED，RELATED   tcp鏈接的各個(gè)階段 都accept
--dport 22 運(yùn)行ssh協(xié)議

不過(guò)我覺(jué)得確實(shí)多此一舉

chenyx

誰(shuí)能幫我解釋下，為什么要加：
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT這一行及
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 這一行？
因?yàn)樽詈笥幸粋�(gè)規(guī)則-A INPUT -j REJECT --reject-with icmp-host-prohibited，沒(méi)有上面的規(guī)則，相當(dāng)于系統(tǒng)Drop任何包進(jìn)入