为什么iptables不阻塞任何端口？

我有iptables运行和最新的规则（即我重新启动服务，它说，一切都“确定”）。

我只用了system-config-firewall编辑/定义任何规则，所以我不应该有一个手动创build的错误。如果我能避免它，我不想手动编辑它。

我以为我已经configuration好了，这样我的Apache端口80和443就可以打开了，但Tomcat正在监听的端口不会是8080和8443 。然而，这并不是…我可以在任何机器上浏览他们，没有任何问题。

最终我确实希望Tomcat的端口可以访问，但我不明白为什么他们已经是。我希望我需要明确地打开它们。

此外，在我添加规则明确地打开它们之前，我所有的邮件端口都是可以访问的（ 995 …）。同样，我希望那些打开，但我不明白为什么他们总是？

这是我的iptables输出。为什么一切似乎都是开放的？这也许是因为没有输出规则？另外，为什么看似重复的规则？ system-config-firewall不能控制这样的重复吗？我该如何清理呢？只有通过手动编辑，我想…

 Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 2834 692K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 5 511 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3 14 990 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 4 114 6717 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 5 0 0 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0 6 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 7 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 8 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443 9 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 10 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:993 11 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:995 12 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 13 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 14 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443 15 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:993 16 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:995 17 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110 18 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143 19 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:587 20 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:465 21 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 4 0 0 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 5 0 0 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0 6 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 3208 packets, 1537K bytes) num pkts bytes target prot opt in out source destination

请参见INPUT链中的第3,4和5行 – 这些规则允许来自接口eth0，eth1和lo的任何端口的任何数据包通过。 IPTables与第一匹配规则一起工作，因此当数据包获得允许/拒绝的第一个规则时，它被应用。您应该只设置规则到确切的端口，并拒绝任何其他stream量。