由 wenwei99 在 06-09-2004 11:32 发表:
一个关于iptables 的问题
-A FORWARD -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 -j ACCEPT
-A FORWARD -p udp -m state --state RELATED,ESTABLISHED -m udp --dport 1024:65535 -j ACCEPT
请问一下高手,以上这两句话如何解释。多谢。
问世间
情是何情
直教生死相许
天南地北双飞客
老翅几回寒暑
欢乐趣
离别苦
就中更有痴儿女
君应有语
渺万里层云
千山暮雪
指影向谁去
由 smile787 在 06-09-2004 18:53 发表:
楼上写的有错误,正确的为
-A FORWARD -p udp -m state --state RELATED,ESTABLISHED --dport 1024:65535 -j ACCEPT
这是条防火过滤规则。。
是连接追踪的应用:这里的规则允许双向传连接和一个已经存在的连接开始新连的。。。。。
这条规则只做为安全系统的一个重要应用。
由 faint 在 06-09-2004 22:35 发表:
连接跟踪,嗯,特别合适在内网开的ftp:-)
由 smile787 在 06-09-2004 22:51 发表:
楼上喜欢做内网影设ftp?有没有负载均衡啊!!!
由 wenwei99 在 06-09-2004 23:15 发表:
多谢两位,哪第一条还有没有用到?
-A FORWARD -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 -j ACCEPT
还有第二条的 -m udp 是不是可以不要?
问世间
情是何情
直教生死相许
天南地北双飞客
老翅几回寒暑
欢乐趣
离别苦
就中更有痴儿女
君应有语
渺万里层云
千山暮雪
指影向谁去
由 faint 在 06-09-2004 23:24 发表:
> quote:
>
> * * *
>
> 最初由 smile787 发表
>
> 楼上喜欢做内网影设ftp?有没有负载均衡啊!!!
>
> * * *
内网开ftp的情况很正常吧,也很普遍吧。因为很多单位都是在DMZ前面加上路由,再接下就是防火墙什么的。
负载均衡?你是指什么?现在正在看lartc的文档,发现有很多的东西都不懂:-)
由 faint 在 06-09-2004 23:26 发表:
像 -m udp这样的规则我还没有见过man iptables好像也没有提到这个用法。
MATCH EXTENSIONS
iptables can use extended packet matching modules. These are loaded in
two ways: implicitly, when -p or --protocol is specified, or with the
-m or --match options, followed by the matching module name; after
these, various extra command line options become available, depending
on the specific module. You can specify multiple extended match
modules in one line, and you can use the -h or --help options after the
module has been specified to receive help specific to that module.
由 smile787 在 06-09-2004 23:42 发表:
> quote:
>
> * * *
>
> 最初由 faint 发表
>
> **内网开ftp的情况很正常吧,也很普遍吧。因为很多单位都是在DMZ前面加上路由,再接下就是防火墙什么的。
>
> 负载均衡?你是指什么?现在正在看lartc的文档,发现有很多的东西都不懂:-) **
>
> * * *
以为兄弟用大型网络,问下是否用负载均衡的技术。。。
单位一般一台ftp就够,兄弟DMZ是用硬件来做的吧。。。
由 faint 在 06-09-2004 23:54 发表:
不是,但这些都是基础吧。看到提到负载平衡。就google一把。
http://www.lslnet.com/linux/docs/linux-3250.htm
这个介绍得不错。让偶也好好了解:-)
由 smile787 在 06-10-2004 12:48 发表:
这个用不知道好用不。。。
兄弟谦虚了,,这个性能如何。。
由 wenwei99 在 06-11-2004 08:26 发表:
iptables -A FORWARD -p udp -m state --state ESTABLISHED,RELATED --dport 1024: -j ACCEPT
这一条的 1024: 表示什么意思。
问世间
情是何情
直教生死相许
天南地北双飞客
老翅几回寒暑
欢乐趣
离别苦
就中更有痴儿女
君应有语
渺万里层云
千山暮雪
指影向谁去
由 faint 在 06-11-2004 10:33 发表:
>=1024的端口
由 wenwei99 在 06-11-2004 15:13 发表:
多谢高手!我有一个问题问你。
iptables -A INPUT -i eth0 -p ! udp -d 224.0.0.0/4 -j DROP
<br