请教：iptables的设置问题

jlyuan

这是我的iptables的filter文件
# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
#       firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 389 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 202.101.98.55 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -j REJECT
COMMIT

我的ftp连不上去，提示成功登陆，但后面出错，是什么原因啊？？？

jlyuan

我加了一条：
-A RH-Lokkit-0-50-INPUT -p udp -m tcp --dport 20 --syn -j ACCEPT

提示配置文件出错

大家帮帮我啊！！

jlyuan

没人知道吗？？？

自己顶一下

Brain

最初由 jlyuan 发表
我加了一条：
-A RH-Lokkit-0-50-INPUT -p udp -m tcp --dport 20 --syn -j ACCEPT

提示配置文件出错

大家帮帮我啊！！

试试用-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 20 --syn -j ACCEPT

Snoopy

那不是redhat默认防火墙的规则吗？

感觉不大好用，还是自己写好

jlyuan

请问斑竹   自己要怎么写啊？ 写一个filter文件就可以了？？

我现在用的是RH的默认防火墙，很想自己写一个，请赐教！~

Snoopy

比如你想怎样,禁止icmp,禁止什么ip访问,禁止什么端口,

自己写当然比默认的防火墙好吧,之前我也是那样学过来的

大熊宝宝

请加载
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
不然怎么行

jlyuan

你所说的这些功能是在filter中加入一行指令就可以实现吗？

还有
请加载
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
是什么意思？为什么要加载他们？有什么用？我是菜鸟，请多指教。

Snoopy

iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -s ip  -j DROP
iptables -A INPUT -p 协议 -p --dport 端口 -j DROP

比如icmp，上面是禁止所有icmp通信，具体想开什么得参考下文章