ZC: prohibited 禁止
1、http://blog.csdn.net/kunatnet/article/details/44650387
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
:INPUT ACCEPT [0:0]
# 該規則表示INPUT表默認策略是ACCEPT
:FORWARD ACCEPT [0:0]
# 該規則表示FORWARD表默認策略是ACCEPT
:OUTPUT ACCEPT [0:0]
# 該規則表示OUTPUT表默認策略是ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 意思是允許進入的數據包只能是剛剛我發出去的數據包的回應,ESTABLISHED:已建立的鏈接狀態。RELATED:該數據包與本機發出的數據包有關。
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 這兩條的意思是在INPUT表和FORWARD表中拒絕所有其他不符合上述任何一條規則的數據包。並且發送一條host prohibited的消息給被拒絕的主機。
這個是iptables的默認策略
2、
:INPUT ACCEPT [0:0] # 該規則表示INPUT表默認策略是ACCEPT :FORWARD ACCEPT [0:0] # 該規則表示FORWARD表默認策略是ACCEPT :OUTPUT ACCEPT [0:0] # 該規則表示OUTPUT表默認策略是ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 意思是允許進入的數據包只能是剛剛我發出去的數據包的回應,ESTABLISHED:已建立的鏈接狀態。RELATED:該數據包與本機發出的數據包有關。 -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited # 這兩條的意思是在INPUT表和FORWARD表中拒絕所有其他不符合上述任何一條規則的數據包。並且發送一條host prohibited的消息給被拒絕的主機。 這個是iptables的默認策略,你也可以刪除這些,另外建立符合自己需求的策略。 <!-- *** *** *** *** *** --> 追問 多謝,還有一條,繼續請教一下: -A INPUT -i lo -j ACCEPT 這一條漏掉了,我使用iptables --list查看,好像所有的數據包都允許了
追答 -i 參數是指定接口,這里的接口是lo ,lo就是Loopback(本地環回接口),意思就允許本地環回接口在INPUT表的所有數據通信。
3、
4、
5、