游乐游手机版
首页/系统平台/文章详情

CentOS 6.6默认iptables规则详解

时间:2026-06-24 08:38
最近在自己的电脑上全新安装了 CentOS 6 6 虚拟机,随后顺手部署了 Nginx 服务,结果发现只有虚拟机内部可以正常访问,外部网络无论如何都无法连接。不用多想,第一反应就是防火墙设置出了问题。赶紧检查了一下 iptables 规则,发现当前的配置如下: [root@centos6 ~] i

最近在自己的电脑上全新安装了 CentOS 6.6 虚拟机,随后顺手部署了 Nginx 服务,结果发现只有虚拟机内部可以正常访问,外部网络无论如何都无法连接。不用多想,第一反应就是防火墙设置出了问题。赶紧检查了一下 iptables 规则,发现当前的配置如下:

[root@centos6 ~]# iptables-sa ve 
# Generated by iptables-sa ve v1.4.7 on Sun Jul 26 15:53:13 2015 
*filter 
:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [5819:366868] 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT 
# Completed on Sun Jul 26 15:53:13 2015

乍看上去,默认策略全都是 ACCEPT,似乎没什么问题。但再往下翻,最后两条规则很值得留意:

-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

这两条规则的含义其实非常明确:在 INPUT 和 FORWARD 链中,凡是未被前面规则明确放行的数据包,统统会被拒绝,并向源主机返回一条“host prohibited”的 ICMP 消息。换句话说,整个防火墙只放通了三种流量:已建立连接的相关数据包、ICMP(ping)以及本机回环接口上的通信,外加一个 SSH(TCP 22 端口)。至于 Nginx 默认监听的 80 端口?很遗憾,被最后那条 REJECT 规则一棒子全部拦截了。

因此问题的根源就在这里:尽管默认策略是 ACCEPT,但规则链末尾有一条全量 REJECT 兜底,相当于把所有未明确允许的端口都封锁了。解决办法其实很简单,要么添加一条放行 80 端口的规则,要么直接将那条 REJECT 规则注释掉(前提是你清楚这样做的后果)。不过在生产环境中,更规范的做法是显式开放所需的端口,而不是直接关闭防火墙。说到底,这个问题的源头要归咎于 CentOS 6 默认的 iptables 模板——它只预留了 SSH 端口,其他服务一律禁止访问。

来源:https://www.jb51.net/os/RedHat/528120.html
上一篇CentOS 7.1运行级别详解与开机模式切换指南 下一篇CentOS cfdisk分区操作完整指南
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
微软详解Win11时间点还原 默认每24小时创建恢复点
系统平台 · 2026-06-30

微软详解Win11时间点还原 默认每24小时创建恢复点

微软今日推送了最新的 6 月可选更新,并发布博客详细解读了 Win11 全新的“时间点还原”(Point-in-time restore)功能——这一功能本质上是对系统恢复体验的一次全面升级,旨在让用户更轻松地应对电脑故障。 微软表示,面向 Windows 11 客户端用户的“时间点还原”功能现已正

Win11 26H1六月可选更新KB5095091 优化放大镜改善装机体验
系统平台 · 2026-06-30

Win11 26H1六月可选更新KB5095091 优化放大镜改善装机体验

微软今天推送了Windows 11 26H1设备的6月可选更新KB5095091,安装完成后系统版本号会升级到Build 28000 2340。值得一提的是,这次更新并非面向所有设备,而是专门为搭载高通骁龙X2系列芯片的机型准备的——包括骁龙X2 Plus、X2 Elite和X2 Elite Ext

Win11六月可选更新KB5095093修复回收站弹窗异常
系统平台 · 2026-06-30

Win11六月可选更新KB5095093修复回收站弹窗异常

微软已悄然推送Windows 11六月可选更新,编号KB5095093。本次更新覆盖两个版本:24H2用户安装后版本号升级至Build 26100 8737,而25H2用户则更新至Build 26200 8737。 本次更新并非仅是小修小补,而是带来了多项实质性新功能。下面我们就来详细解析这些更新内

苹果macOS 27 Beta2封堵Siri AI跳过候补名单漏洞
系统平台 · 2026-06-30

苹果macOS 27 Beta2封堵Siri AI跳过候补名单漏洞

科技媒体 Cult of Mac 昨日(6月23日)发布博文指出,苹果在 macOS 27 Beta 2 更新中悄然封堵了一个此前可用的后门——用户曾能通过一条终端命令绕过候补名单,直接启用新版 Siri AI,如今这一方法已失效。 简要回顾一下:在 macOS 27 Beta 1 阶段,只需在 M

微软加速Win11 25H2推送 覆盖所有符合条件家用PC
系统平台 · 2026-06-30

微软加速Win11 25H2推送 覆盖所有符合条件家用PC

近日(6月23日),科技媒体 Windows Latest 发布了一则值得关注的动态:微软已进一步扩大 Windows 11 25H2 的推送范围,所有满足硬件要求、且不受 IT 部门管理的家庭版和专业版设备,现在均可顺利接收本次更新。 此次升级有一个显著特点——采用“启用包”(eKB)方式进行推送