19,618
社区成员
发帖
与我相关
我的任务
分享iptables 为什么一定要有 --state ESTABLISHED,RELATED -j ACCEPT ?
iptables中的一条:
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
其后才是22,80之类的端口设置。
这样的话不会产生安全问题吗?
...全文
请发表友善的回复…
发表回复
steptodream 2011-04-20
- 打赏
- 举报
我之所以说是万全的一句 就是因为有的服务到底需要还是不需要 需要单独去判断 所以加上这一句就应付了 虽然说不太好 但是也没大问题
steptodream 2011-04-20
- 打赏
- 举报
[Quote=引用 3 楼 netxuning 的回复:]
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 22 -j ACCEPT
[/Quote]
没有RELATED ssh可能还能用 你最好自己尝试一下
icmp tcp udp分别都是不同的协议
icmp没有这句 是可以的
其实icmp有很多种类http://www.cnitblog.com/yang55xiaoguang/articles/59581.html
可以用--icmp-type 来指定哪一种的允许 我常常指定(Echo request——回显请求(即Ping请求))
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 22 -j ACCEPT
[/Quote]
没有RELATED ssh可能还能用 你最好自己尝试一下
icmp tcp udp分别都是不同的协议
icmp没有这句 是可以的
其实icmp有很多种类http://www.cnitblog.com/yang55xiaoguang/articles/59581.html
可以用--icmp-type 来指定哪一种的允许 我常常指定(Echo request——回显请求(即Ping请求))
netxuning 2011-04-20
- 打赏
- 举报
[Quote=引用 2 楼 steptodream 的回复:]
我早上给你回复的帖子里 讲了各种状态的含义 你去看看 理解了状态的含义 你就明白为什么要这样
你老这样不行 遇到一个东西 你要常用 最好去系统的学一遍。
你去google搜一下 2个半小时玩转iptables
其实写这一句是为了完全 你总不希望每个rule里都加一个ESTABLISHED吧 麻烦都麻烦死了
还有RELATED 说明包正在建立一个新的连接,这个连接是和一个已建立的连接……
[/Quote]
呵呵,谢谢主席,讲得那么精辟。
这么说如果不加这条的话,我下边的各种端口的设置需要如下:
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 22 -j ACCEPT
如果没有ESTABLISHED,RELATED的话是不是如sshd之类的服务就没办法使用了?
icmp就无需这两种状态了吧?
我早上给你回复的帖子里 讲了各种状态的含义 你去看看 理解了状态的含义 你就明白为什么要这样
你老这样不行 遇到一个东西 你要常用 最好去系统的学一遍。
你去google搜一下 2个半小时玩转iptables
其实写这一句是为了完全 你总不希望每个rule里都加一个ESTABLISHED吧 麻烦都麻烦死了
还有RELATED 说明包正在建立一个新的连接,这个连接是和一个已建立的连接……
[/Quote]
呵呵,谢谢主席,讲得那么精辟。
这么说如果不加这条的话,我下边的各种端口的设置需要如下:
-A INPUT -m state --state NEW,ESTABLISHED,RELATED -m tcp -p tcp --dport 22 -j ACCEPT
如果没有ESTABLISHED,RELATED的话是不是如sshd之类的服务就没办法使用了?
icmp就无需这两种状态了吧?
steptodream 2011-04-20
- 打赏
- 举报
我早上给你回复的帖子里 讲了各种状态的含义 你去看看 理解了状态的含义 你就明白为什么要这样
你老这样不行 遇到一个东西 你要常用 最好去系统的学一遍。
你去google搜一下 2个半小时玩转iptables
其实写这一句是为了完全 你总不希望每个rule里都加一个ESTABLISHED吧 麻烦都麻烦死了
还有RELATED 说明包正在建立一个新的连接,这个连接是和一个已建立的连接相关的 比如我和你做生意 我们谈成了生意 到了支付的时候 就还要和银行打交道 如果银行不和我们2打交道 我们的生意还做的成吗?
你老这样不行 遇到一个东西 你要常用 最好去系统的学一遍。
你去google搜一下 2个半小时玩转iptables
其实写这一句是为了完全 你总不希望每个rule里都加一个ESTABLISHED吧 麻烦都麻烦死了
还有RELATED 说明包正在建立一个新的连接,这个连接是和一个已建立的连接相关的 比如我和你做生意 我们谈成了生意 到了支付的时候 就还要和银行打交道 如果银行不和我们2打交道 我们的生意还做的成吗?
freetstar 2011-04-20
- 打赏
- 举报
建立起来得链接你当然要允许接收了。。
