由 xiaojl 在 11-24-2002 19:27 发表:
几条简单的规则,请大家帮忙
linux高级网络应用服务指南中有以下几条规则
拒绝A类地址来的包
ipchains -A input -i $EXTERNAL_INTERFACE -s $CLASS_A -j DENY -l
ipchains -A input -i $EXTERNAL_INTERFACE -d $CLASS_A -j DENY -l
ipchains -A output -i $EXTERNAL_INTERFACE -s $CLASS_A -j REJECT -l
ipchains -A output -i $EXTERNAL_INTERFACE -d $CLASS_A -j REJECT -l
其中第一句和第三句有什么区别,也就是input,output有什么区别
由 solaris 在 11-25-2002 10:37 发表:
input是接收的包,output是发出的包
由 xiaojl 在 11-25-2002 16:27 发表:
总算有人回应了
先谢了
input 是谁接收的包,是不是防火墙,output是谁发出的包,是防火墙吗,如果把源地址和目标地址对换,是不是input也可以对换(接收和发送是相对来说的)
希望solaris能回应
由 hqxyn 在 11-25-2002 20:17 发表:
Re: 总算有人回应了
> quote:
>
> * * *
>
> 最初由 xiaojl 发布
>
> **先谢了
>
> input 是谁接收的包,是不是防火墙,output是谁发出的包,是防火墙吗,如果把源地址和目标地址对换,是不是input也可以对换(接收和发送是相对来说的)
>
> 希望solaris能回应 **
>
> * * *
input和output不能对换,把$EXTERNAL_INTERFACE看做"门",从本机出去的包由output过滤,本地ip为源。进入本机的包input过滤,对方地址为源。
由 xiaojl 在 11-26-2002 12:42 发表:
那我的第一句是不是出去的包
那我的第一句是不是本机出去的包,怎么用input,有了第一句是不是第3句可以省略
由 solaris 在 11-26-2002 15:42 发表:
我给你解释一下:
(假设$EXTERNAL_INTERFACE为eth0,$CLASS_A为10.0.0.0/8)
ipchains -A input -i $EXTERNAL_INTERFACE -s $CLASS_A -j DENY -l
所有从eth0口进来的源地址为10.0.0.0/8网内地址的包,全部deny。
ipchains -A input -i $EXTERNAL_INTERFACE -d $CLASS_A -j DENY -l
所有从eth0口进来的目的地址为10.0.0.0/8网内地址的包,全部deny。
ipchains -A output -o $EXTERNAL_INTERFACE -s $CLASS_A -j REJECT -l
所有从eth0口出去的源地址为10.0.0.0/8网内地址的包,全部reject。
ipchains -A output -o $EXTERNAL_INTERFACE -d $CLASS_A -j REJECT -l
所有从eth0口出去的目的地址为10.0.0.0/8网内地址的包,全部reject。
注意: input和output都是针对本机而言的, 如果是traverse的话(相当与路由器)规则