我刚刚获得了一台新的 CentOS 专用服务器,我正在尝试调试一些网络问题。在这样做的过程中,我发现超过一千iptables 条目。这是 CentOS 系统上的默认设置吗?是否有某些防火墙软件包可能会这样做?
答案1
这是 CentOS 系统上的默认设置吗?
否。默认值如下。
是否有某些防火墙软件包可能会这样做?
大概。你没有说这些条目是什么,但如果他们禁止 CIDR 块,我猜你的服务器有一个防火墙,比如有源滤波器或者脑脊液可以订阅黑名单,例如Spamhaus 的掉落这就是您的规则的生成方式。或者,可能有一些 cron 作业可以完成这一切。如果你这样做grep -rl iptables /etc/*
,它会告诉你所有提到 iptables 的文件,并希望追踪到生成你的条目的内容。
这是 /etc/sysconfig/iptables 中的默认 iptables:
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT