iptablesのルールについて

あるサイトを参考にiptablesを見直していました。
下記内容で、iptablesのルールを記述し、iptablesを再起動したら
80番の通信のみ許可される。

と記述されていました。
ただ、
>:INPUT ACCEPT [0:0]
の内容で、INPUTのデフォルトルールが全許可になるのではないのでしょうか？
よって、RH-Firewall-1 で80番の通信を許可しても意味がないような気がするのですが
私の考えが間違っているでしょうか？

ご教授お願いします。

=======↓iptables参考ファイル=======

vim /etc/sysconfig/iptables

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]


-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 80 -j ACCEPT

～(割愛)～

No.2 ベストアンサー 回答者： Wr5 回答日時： 2013/06/16 13:32

>ただ、

>>:INPUT ACCEPT [0:0]
>の内容で、INPUTのデフォルトルールが全許可になるのではないのでしょうか？

認識は合ってます。

>よって、RH-Firewall-1 で80番の通信を許可しても意味がないような気がするのですが
>私の考えが間違っているでしょうか？

そこで割愛されている部分によるんですが……。
RH-Firewall-1-INPUTのルールの一番最後が
>-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
になっていれば、ココでREJECTされて終わります。

ウチのCentOS5.xがそんな感じですね。
いろいろルールを追加していぢってありますが、最後のこのルールは残したままですし。

この回答へのお礼

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

は、
全許可⇒80番ポート許可⇒ 最後に 80番以外のものは全通信をドロップする。
という流れになるみたいですね。

情報ありがとうございます。

お礼日時：2013/06/16 15:15

No.1 回答者： notnot 回答日時： 2013/06/16 09:00

＞INPUTのデフォルトルールが全許可になるのではないのでしょうか？

その通りです。サンプルのミスでしょうね。

この回答へのお礼

＞INPUTのデフォルトルールが全許可になるのではないのでしょうか？

その通りです。サンプルのミスでしょうね。

やはり考えとしては間違っていないということですね。ありがとうございます。

お礼日時：2013/06/16 15:15