关于iptables - m选项以及规则的理解

　　

关于iptables的详细状态可以查看http://os.51cto.com/art/201108/285209.htm

　　

时常在服务器的防火墙上看到有这些规则。
2 106 k 8294 k接受所有—— 0.0.0.0/0 0.0.0.0/0状态相关,建立,我觉得有必要搞下这个iptables了
下面就来谈谈iptables
一。首先iptables有四种状态
新建立,相关的,无效的。
新状态:主机连接目标主机,在目标主机上看到的第一个想要连接的包
建立状态:主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进入该状态。
相关状态:主机已与目标主机进行通信,目标主机发起新的链接方式,例如ftp
无效的状态:无效的封包,例如数据破损的封包状态

　　

二。其次再来谈谈上述规则的作用
你会发现有这条
2 106 k 8294 k接受所有—— 0.0.0.0/0 0.0.0.0/0状态相关,建立
经常又会看见这条规则
3 0 0拒绝所有—— 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited #其他主机不满足相关的情况,会给它返回host-prohibited

　　

添加方式:iptables -输入- m状态——国家建立,相关- j接受
iptables -输入- j拒绝——reject-with icmp-host-prohibited
第二条规则的含义其实是:调用状态模块,匹配当状态为相关和建立的所有数据包通过,换句话说就是允许所有已经建立的连接,表现为本机可以平其他主机,但是其他主机无法平本机,只接受自己发出去的响应包,这是万能的一句话,允许所有自己发出去的包进来。后面跟具体规则
第三条规则的含义其实是:依据第二条来的,所有不满足第二条规则的,都会被拒绝,而且会给主机返回一个host-prohibited的消息。需要注意的则是,所有位于第三条规则之下的规则都无法生效,位于该规则之上的都会生效

　　

三。口说无凭、下面我们来做个实验看看
只添加iptables -输入- m状态——国家建立,相关- j接受,完全没有任何作用
[root@iZuf62ds2bbsfbvox5ivxdZ ~] # iptables - t过滤器-nvL——行编号
链输入(政策接受0包,0字节)
num袋字节目标prot选择源目的地
1 14 892接受tcp—— 0.0.0.0/0 0.0.0.0/0国家新的tcp dpt: 1212
2 106 k 8294 k接受所有—— 0.0.0.0/0 0.0.0.0/0状态相关,建立

　　

2。添加两条规则,防火墙规则如图,会产生自己能平其他主机,但是其他主机平不通自己的情况
[root@iZuf62ds2bbsfbvox5ivxdZ ~] # iptables - t过滤器-nvL——行编号
链输入(政策接受0包,0字节)
num袋字节目标prot选择源目的地
1 14 892接受tcp—— 0.0.0.0/0 0.0.0.0/0国家新的tcp dpt: 1212
2 106 k 8294 k接受所有—— 0.0.0.0/0 0.0.0.0/0状态相关,建立
3 0 0拒绝所有—— 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited #其他主机不满足相关的情况,会给它返回host-prohibited

　　

链向前(政策接受0包,0字节)
num袋字节目标prot选择源目的地

　　

链输出(政策接受37包,10438字节)
num袋字节目标prot选择源目的地
效果图:
[root@iZuf62ds2bbsfbvox5ivxdZ ~] #平123.56.16.77
萍123.56.16.77(123.56.16.77)56(84)字节的数据。从123.56.16.77
64字节:icmp_seq=1 ttl=55时间=24.7
64字节从123.56.16.77女士:icmp_seq=2 ttl=55时间=24.6
64字节从123.56.16.77女士:icmp_seq=3 ttl=55时间=24.7
64字节从123.56.16.77女士:icmp_seq=4 ttl=55时间=24.7
64字节从123.56.16.77女士:icmp_seq=5 ttl=55时间=24.6
64字节从123.56.16.77女士:icmp_seq=6 ttl=55时间=24.7
64字节从123.56.16.77女士:icmp_seq=7 ttl=55时间=24.6
64字节从123.56.16.77女士:icmp_seq=8 ttl=55次=24.6
64字节从123.56.16.77女士:icmp_seq=9 ttl=55时间=24.7
64字节从123.56.16.77女士:icmp_seq=10 ttl=55次=24.7
64字节从123.56.16.77女士:icmp_seq=11 ttl=55时间=24.7
64字节从123.56.16.77女士:icmp_seq=12 ttl=55时间=24.7 ms
C ^
- - - 123.56.16.77萍统计- - - - - -
13包传输,12收到,7%包丢失,时间12039
女士rtt min/avg/max/mdev 24.788/0.149/24.720=24.660/
女士(root@iZuf62ds2bbsfbvox5ivxdZ ~) #
注销退出
连接101.132.109.227关闭。

　　

欢迎光临阿里巴巴弹性计算服务!

　　

[root@xz-server1 ~] #平101.132.109.227
萍101.132.109.227(101.132.109.227)56(84)字节的数据。null 　　null 　　null 　　null 　　null 　　null 　　null 　　null

关于iptables - m选项以及规则的理解