在 CentOS 6.4 中设置防火墙

在 CentOS 6.4 中设置防火墙

我需要问一个关于安装某些软件包以及在 centOS 中调整 iptable 的必要性的一般问题;当我安装 apache 软件包并在 /var/www/html 中放置一个简单的测试页面时,它不想拉起,直到我真正进入 ipTables 并添加一行以打开端口 80。我现在在设置 ftp 和 vsftpd 时遇到同样的问题。但他们更固执。我已将端口 20 和 21 添加到 iptables,但仍然被拒绝。我停止了 iptables 并能够让 FileZilla 连接。

我的一位同事告诉我,我根本不需要这样做。只需安装软件包就可以完成所有配置设置。他是对的吗?centOS6.4 还太新,有 bug 吗?

我查看了一些关于设置 vsftpd 的文档,但它们有所不同。

感谢帮助。

以下是我从 iptables 得到的输出:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp    dpt:ftp 
0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ftp-data 
0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:https 
6   725 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:http 
20  1376 ACCEPT     all  --  any    any     anywhere             anywhere            state 

RELATED,ESTABLISHED 
0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            
0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            
0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            state NEW tcp dpt:ssh

557 91720 REJECT     all  --  any    any     anywhere           anywhere                reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
0     0 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 18 packets, 3833 bytes)
pkts bytes target     prot opt in     out     source               destination         
0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ftp-data 
0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ftp 

答案1

您缺少一条基于现有流量接受流量的规则(使 iptables 有状态的规则)。这应该是您的第一条规则:

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

相关内容