修复后的规则列表:
Chain RH-Firewall-1-INPUT (2 references)target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT tcp -- anywhere anywhere tcp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
INPUT链是系统默认带的链,RH-Firewall-1-INPUT是系统管理员自己定义添加的链。INPUT链一般是父链,像RH-Firewall-1-INPUT这样自定义的链都是一些特定功能的链,可以加入到主链INPUT中。
如:
分别有RH-Firewall-1-INPUT和RH-IDS-1-INPUT两个链,分别完成防火墙和入侵检测功能,先将两个链加入到主链INPUT中。
iptables -A INPUT -j RH-Firewall-1-INPUT
iptables -A INPUT -j RH-IDS-1-INPUT
这样报文会先进入INPUT链,再由INPUT链进入RH-Firewall-1-INPUT处理,最后进入RH-IDS-1-INPUT链处理。
从规则列表中看,RH-Firewall-1-INPUT链的功能是用于防护系统本身的防火墙策略,本系统可以接收所有IP包、icmp包、esp包、ah包、udp的组播包,访问ipp服务的包、开启了状态检测功能,开放ssh、https、http三个服务。
最后提醒楼主:你问的问题,还得自己整理规则,让帮你解答的人看了很不舒服,下次注意吧,否则没人愿意帮你解答了。
