关于IPTABLES

hew

一台服务器不用NAT直接向外提供WEB服务，由于只提供web服务所以INPUT链除80，443全部DROP。传出数据我不知道具体用哪个端口。所以OUTPUT链全部ACCEPT。
所以我的iptables这样写：


iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i eth0 --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 --dport 443 -j ACCEPT
iptables-save > /etc/sysconfig/iptables


请大侠们先看看我的思路对不对？不对的话为什么，该怎么写？

还有这段
iptables -A INPUT -i eth0 --dport 80 -j ACCEPT
我写下去回车就这样
iptables v1.2.7a: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.

如果写成这样
iptables -A INPUT -i eth0 -dport 80 -j ACCEPT
提示是：
Bad argument `80'
Try `iptables -h' or 'iptables --help' for more information.

我用的是RH8为什么会这样？

黄叶

我想这的想法本身就有问题。
第一：filter表中的INPUT链的意思是：当有数据包的目地的是本机， OUTPUT链的意思是数据包是本机产生的。而FORWARD链才是转发规则。
第二：没有传出这个说法，虽然实际动作是有的。这个可以用状态来解决的。
建议你看看精华版中的关于IPTABLES的贴子，有很多的贴子讲得很清楚的。

hew

还有这段
iptables -A INPUT -i eth0 --dport 80 -j ACCEPT
我写下去回车就这样
iptables v1.2.7a: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.

如果写成这样
iptables -A INPUT -i eth0 -dport 80 -j ACCEPT
提示是：
Bad argument `80'
Try `iptables -h' or 'iptables --help' for more information.

我用的是RH8为什么会这样？
这段先帮我看看。

思路的事我先看看文档再考虑！

haveyou

iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT

nobody_am

其实：
如果你在网管那台机设定的话用下面：
# iptables -P FORWARD DROP
# iptables -A FORWARD -p tcp -d 210.32.65.3 --dport 80 -j ACCEPT

如果你在http服务器上设定的话：
# iptables -P INPUT DROP
# iptables -A INPUT -p tcp -d 210.32.65.3 --dport 80 -j ACCEPT

主意，如果你的策略设为DROP的话，要付出其他代价的，自习想周全。