我正在使用fwbuilder,并尝试设置规则,这两个规则都允许lo接口和源IP 127.0.0.1 ,如下所示:
$IPTABLES -A INPUT -i lo -m state --state NEW -j ACCEPT $IPTABLES -A OUTPUT -o lo -m state --state NEW -j ACCEPT ... $IPTABLES -A INPUT -s 127.0.0.1 -m state --state NEW -j ACCEPT $IPTABLES -A OUTPUT -s 127.0.0.1 -m state --state NEW -j ACCEPT
连接似乎工作正常,但为什么我在/var/log/syslog看到这些错误中的几个?
RULE 4 -- DENY IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=43254 DF PROTO=TCP SPT=47654 DPT=4949 WINDOW=256 RES=0x00 ACK PSH FIN URGP=0
更新 : 输出iptables -L -v
你能显示你所有的规则吗? 为了解决你的问题,只需制定规则:
/sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT
你只允许-m state --state NEW 。 假设你在某个地方也有一个RELATED, ESTABLISHED规则,你会看到上面的一些数据包被拒绝, ACK PSH FIN或者其他一些非新的标志,这些标志是内核状态跟踪器不能识别为已build立或相关连接的一部分。 通常这会在重新启动iptables后不久发生,因此会重新加载连接跟踪模块。
您在回送接口上拒绝INVALID和UNTRACKED数据包。
这可能会导致其他icmp包被丢弃。
查看http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#STATEMACHINE和man iptables