centos6.3 防火墙配置

阅读更多

 

 

# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 5001:5009 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

其中

 

:INPUT ACCEPT [0:0]

# 该规则表示INPUT表默认策略是ACCEPT

 

:FORWARD ACCEPT [0:0]

# 该规则表示FORWARD表默认策略是ACCEPT

 

:OUTPUT ACCEPT [0:0]

# 该规则表示OUTPUT表默认策略是ACCEPT

 

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 意思是允许进入的数据包只能是刚刚我发出去的数据包的回应，ESTABLISHED：已建立的链接状态。RELATED：该数据包与本机发出的数据包有关。

 

-A INPUT -i lo -j ACCEPT

# 意思就允许本地环回接口在INPUT表的所有数据通信，-i 参数是指定接口，接口是lo，lo就是Loopback（本地环回接口）

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

# 这两条的意思是在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机。

这个是iptables的默认策略，你也可以删除这些，另外建立符合自己需求的策略。