CentOS 6.x iptables默认配置解析
Centos 6.x 自带的iptables作为系统本地防火墙功能非常强大。现在我们来看看它的默认配置的具体含义。
Centos 6.x iptables 默认配置如下:
[root@localhost ~]# cat /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
iptables -L -v 显示如下:
[root@wsbapp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination
*filter
--------
表示下面的内容是属于filter这个规则表。filter这个规则表主要是进行封包过滤的。
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
----------------------
表示filter表中三个规则链INPUT、FORWARD、OUTPUT的默认规则为ACCEPT。
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-------------------------------------------------------
RELATED 表示该封包是属于某个已经建立的连接所建立的新连接。
ESTABLISHED 表示该封包属于某个已经建立的连接。
这条规则表示属于ESTABLISHED,RELATED两种连接状态的封包允许进入。意思是允许进入的数据包只能是刚刚我发出去的数据包的回应。
-A INPUT -p icmp -j ACCEPT
--------------------------
允许协议为icmp的封包进入。
-A INPUT -i lo -j ACCEPT
------------------------
允许本地回环接口(即允许本机访问本机)。
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
----------------------------------------------------------------
允许通过22端口连接管理本机。
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-----------------------------------------------------
这条规则拒绝所有INPUT连接。并且发送一条host prohibited的消息给被拒绝的主机。--reject-with的作用是定义返回错误包的类型。
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-------------------------------------------------------
这条规则拒绝所有FORWARD转发。并且发送一条host prohibited的消息给被拒绝的主机。