小弟在学习Iptables 时遇到一个问题 当我下iptables -A INPUT -d 192.168.1.222 -p tcp -m state --state NEW -j DROP 会无法开启网页 但是可以PING 出去 (192.168.1.222 是我的interface IP) 但是使用 iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -j DROP 却可以成功开启网页 查了一些书籍 第一条意思是 目的端为192.168.1.222 的新连线封包(state NEW) 都DROP 第二条允许 成功建立的连线(state ESTABLISHED)通过 然後把所有的 进入封包都DROP 照理说第二条挡住的封包应该比第一条多 可是为什麽反而是第二条可以开网页第一条不能呢???? --------------------------------------------------------------------- 第一条 Chain INPUT (policy ACCEPT 87 packets, 8182 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT icmp -- * * 0.0.0.0/0 192.168.1.222 icmp type 8 reject-with icmp-proto-unreachable 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset 0 0 DROP tcp -- * * 0.0.0.0/0 192.168.1.222 state NEW 第二条 Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT icmp -- * * 0.0.0.0/0 192.168.1.222 icmp type 8 reject-with icmp-proto-unreachable 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset 0 0 DROP tcp -- * * 0.0.0.0/0 192.168.1.222 state NEW 22 1572 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 顺便请问一下 在刚才网路上爬文时 有一个疑问 当下iptable 指令时 如果不加 -t 那下的指令算是 filter nat mangle 的哪一个呢??? --

※ 发信站: 批踢踢实业坊(ptt.cc) ※ 编辑: kuangs 来自: 218.211.253.68 (03/07 15:20)