请教：iptables的设置问题

jlyuan

我先把所有端口关掉
   iptables -A INPUT -j DROP
然后开放一个ip（192.168.1.11）
   iptables -A INPUT -s 192.168.1.11
开放22端口
   iptables -A INPUT -p tcp --dport 22 -j ACCEPT
做完之后telnet 22端口可以通，可是我的ssh客户端连不上去这是怎么回事？？

Snoopy

那你的客户机的ip是不是1.11？

你上面那样写不对啊

你只想对1.11开放22是不是？可以这样

iptables -A INPUT -j DROP
iptables -A INPUT -s 192.168.1.11 -p tcp --dport 22 -j ACCEPT

jlyuan

没错，我的1.11是我客户机的ip

iptables -A INPUT -s 192.168.1.11 -p tcp --dport 22 -j ACCEPT
这样子还是不行啊，
设置防火墙的顺序是怎么样的？
要不要先开启系统默认的防火墙？还是先把系统默认的防火墙先关闭掉再进行以上设置？

我头都晕了。。。

Snoopy

iptables -F
iptables -A INPUT -s 192.168.1.1/24 -j DROP
对这个网段的机给禁止通信
iptables -A INPUT -s 192.168.1.11 -p tcp --dport 22 -j ACCEPT

允许1.11对22的访问，其他不行

jlyuan

不知道为什么我的就只能禁止，不能允许啊！
iptables -F
iptables -A INPUT -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
这样子也不行。

我输入的命令系统也没有提示出错。
是不是不同版本的linux有不一样的命令？我用的是RH9.0的

Snoopy

你只想开22，其他全关对吧，
iptables -F
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

jlyuan

还是不行，

iptables -F
iptables -A INPUT -p tcp -j DROP
这两条都可以起到作用，所有tcp端口都禁止了。
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
这条命令可以执行但没有效果，22端口还是不能访问

Snoopy

或许你可以将这两行位置换下，如果不行你得检查其他问题

jlyuan

谢谢piksnoopy兄， 终于搞定了， 两行置换一下就ok了。。

谢谢

EvilSeed

jlyuan老兄可以试一下iptables -L -v命令看看防火墙的具体配置情况是怎样的.其实防火墙的规则是从上到下一条一条匹配的.我也是刚开始学iptables,如果真的要学好,一定要认真看一下man.