iptables-save给出了奇怪的结果

时间:2014-02-20 23:00:16

标签: iptables

在我做的空iptables上:

$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP

以及SSH,HTTP和TEAMSPEAK的一些规则

当我做iptables-save时,我得到的结果允许一些IP 

# Generated by iptables-save v1.4.8 on Thu Feb 20 23:55:32 2014
*raw
:PREROUTING ACCEPT [6299:1141558]
:OUTPUT ACCEPT [6172:2577934]
COMMIT
# Completed on Thu Feb 20 23:55:32 2014
# Generated by iptables-save v1.4.8 on Thu Feb 20 23:55:32 2014
*nat
:PREROUTING ACCEPT [328:23247]
:INPUT ACCEPT [170:9752]
:OUTPUT ACCEPT [1190:168880]
:POSTROUTING ACCEPT [717:89971]
COMMIT
# Completed on Thu Feb 20 23:55:32 2014
# Generated by iptables-save v1.4.8 on Thu Feb 20 23:55:32 2014
*mangle
:PREROUTING ACCEPT [6299:1141558]
:INPUT ACCEPT [6299:1141558]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6172:2577934]
:POSTROUTING ACCEPT [5699:2499025]
COMMIT
# Completed on Thu Feb 20 23:55:32 2014
# Generated by iptables-save v1.4.8 on Thu Feb 20 23:55:32 2014
*filter
:INPUT DROP [17:1024]
:FORWARD DROP [0:0]
:OUTPUT DROP [76:11042]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 9987 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCE\
PT
-A OUTPUT -p tcp -m tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT\

-A OUTPUT -p udp -m udp --sport 9987 -j ACCEPT
COMMIT

问题是,这是正常的吗?我被黑了吗?

2 个答案:

答案 0 :(得分:1)

如果你的问题是指方括号中的数字,即

* NAT

:PREROUTING ACCEPT [328:23247]< - 这些数字

然后不,你没被黑了。 那些是包和字节计数器。

Oskar Andreasson关于iptables的非常好的教程可在以下网址找到:http://www.faqs.org/docs/iptables/index.htmlhttp://www.faqs.org/docs/iptables/iptables-save.html

上有一页涵盖您所询问的内容

答案 1 :(得分:0)

请注意,iptables-save由iptables-resture使用,因此复杂的格式化。使用iptables -S获得更简单的表单。

此外,我建议使用更简单的规则,例如:

允许传出流量并继续任何已建立的连接 

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P FORWARD DROP

您要用于输入的特定端口 

iptables -A INPUT -p TCP --dport 22 -m state --state ESTABLISHED,NEW -j ACCEPT
iptables -A INPUT -p TCP --dport 80 -m state --state ESTABLISHED,NEW -j ACCEPT
iptables -A INPUT -p TCP --dport 443 -m state --state ESTABLISHED,NEW -j ACCEPT
iptables -A INPUT -p TCP --dport 9987 -m state --state ESTABLISHED,NEW -j ACCEPT

当然,在脚本中运行它们,否则'iptables -f'会断开当前的SSH会话。

相关问题
最新问题