centos 5.4 附带的默认 iptables 中的这些规则是什么?
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
对于带有 ftp、apache、ssh、mysql 的 Web 服务器,我是否需要它们?
谢谢
答案1
前两行:
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
分析一下/etc/protocols这两个对应IPSec:
esp 50 IPSEC-ESP # Encap Security Payload [RFC2406]
ah 51 IPSEC-AH # Authentication Header [RFC2402]
第三行:
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
来自/etc/servicesudp 端口 5353 的多播 DNS:
mdns 5353/udp # Multicast DNS
最后但并非最不重要:
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
这些对应于杯子印刷服务。
ipp 631/tcp # Internet Printing Protocol
ipp 631/udp
与您的“我需要它们吗?”问题相关,这取决于:
- 它是 vpn 服务器吗?
- 您使用多播 DNS 吗?Apple 的 bonjour 等服务似乎使用了该功能
- 它是打印服务器吗?
由于您声明它是“带有 ftp、apache、ssh、mysql 的 Web 服务器”,所以我认为您不需要它们。
此外,还有一个问题是:为什么会有这些规则?您可能在服务器上有一些不需要的软件包。
答案2
我需要它们吗?
这完全取决于您的系统位于何处。它是连接到互联网还是连接到 LAN?
顺便说一下,在命令行上以 root 身份输入“setup”,然后有一个相当容易使用的工具来配置您的防火墙。