CentOS 6.x iptables默认配置解析

　　Centos 6.x 自带的iptables作为系统本地防火墙功能非常强大。现在我们来看看它的默认配置的具体含义。

　　Centos 6.x iptables 默认配置如下：　　 

[root@localhost ~]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# # Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

        iptables -L -v 显示如下：

[root@wsbapp ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination           

*filter
--------
表示下面的内容是属于filter这个规则表。filter这个规则表主要是进行封包过滤的。

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
----------------------
表示filter表中三个规则链INPUT、FORWARD、OUTPUT的默认规则为ACCEPT。

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-------------------------------------------------------
RELATED 表示该封包是属于某个已经建立的连接所建立的新连接。
ESTABLISHED 表示该封包属于某个已经建立的连接。
这条规则表示属于ESTABLISHED,RELATED两种连接状态的封包允许进入。意思是允许进入的数据包只能是刚刚我发出去的数据包的回应。

-A INPUT -p icmp -j ACCEPT
--------------------------
允许协议为icmp的封包进入。

-A INPUT -i lo -j ACCEPT
------------------------
允许本地回环接口(即允许本机访问本机)。

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
----------------------------------------------------------------
允许通过22端口连接管理本机。

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-----------------------------------------------------
这条规则拒绝所有INPUT连接。并且发送一条host prohibited的消息给被拒绝的主机。--reject-with的作用是定义返回错误包的类型。

-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-------------------------------------------------------
这条规则拒绝所有FORWARD转发。并且发送一条host prohibited的消息给被拒绝的主机。