我加了iptables的代码,奇怪的是运行后,apache就起不来了,大家帮我看看

zzw45

加了iptables代码后

运行 service httpd start

就会出现如下提显
[Tue Nov 29 17:00:03 2005] [error] (EAI 3)Temporary failure in name resolution: Cannot resolve host name www.aaa.com --- ignoring!



我知道是iptables的问题,但不知道如何改

springwind426

你怎么加的代码
最起码应该允许所有的dns的包通过吧！
udp 53

zzw45

我的iptables如下,奇怪的是我不执行iptables ,apache就可以起来,执行了就不行

modprobe ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ipt_MASQUERADE


# 初绐化iptables
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -Z -t nat
/sbin/iptables -X -t mangle


# 关闭所有进来数据，初始化
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT  ACCEPT
/sbin/iptables -t nat -P PREROUTING  ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT


#限制对内部封包的发送速度
/sbin/iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT


#限制建立联机的转发包的速度
/sbin/iptables -A FORWARD -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT



#防止SYN攻击 轻量
/sbin/iptables -N syn-flood
/sbin/iptables -A INPUT -p tcp --syn -j syn-flood
/sbin/iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
/sbin/iptables -A syn-flood -j REJECT



#设置icmp阔值 ,并对攻击者记录在案
/sbin/iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
/sbin/iptables -A INPUT -p icmp -m limit --limit 6/m -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j DROP


#打开 syncookie  轻量级预防 DOS 攻击
sysctl -w net.ipv4.tcp_syncookies=1 & > /dev/null

#设置默认 TCP 连接痴呆时长为 3800 秒  此选项可以大大降低连接数
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 & > /dev/null



# 开放的那些端口
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p udp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 100 -j ACCEPT
/sbin/iptables -A INPUT -i $IFACE -p tcp --dport 113 -j ACCEPT

springwind426

/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #允许所有已经建立连接状态的数据包通过

#限制对内部封包的发送速度
/sbin/iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT