iptables的一个奇怪问题

环境：etch，用putty通过SSH做远程操作
只要我用-s设置了源地址，例如：
iptables -A -p icmp -s 192.168.1.28 -j ACCEPT
接下来用iptables -L查看规则的时候，输出到这条指定了源地址的规则那里就堵塞了，要Ctrl+C或者Ctrl+Z才能退出：
sec-rd-debian:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere sec-rd-debian tcp dpt:www
ACCEPT tcp -- anywhere sec-rd-debian tcp dpt:8118



sec-rd-debian:~#

但是使用iptables-save能把规则打印出来:

sec-rd-debian:~# iptables-save
# Generated by iptables-save v1.3.3 on Wed Jul 26 13:49:19 2006
*filter
:INPUT DROP [924:124443]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1584:203018]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -d 192.168.1.146 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 192.168.1.146 -p tcp -m tcp --dport 8118 -j ACCEPT
-A INPUT -s 192.168.1.28 -p icmp -j ACCEPT
COMMIT
# Completed on Wed Jul 26 13:49:19 2006
sec-rd-debian:~#

而我使用RH9的时候就没有这个问题，这是怎么回事，是否和SSH有关?

iptables --list -n

不要反向DNS解析试试看。

明白了，谢谢
再请教一个问题，如果我想要允许这台debian机器进行DNS查询，规则应该怎么写？
似乎应该打开UDP，但是我不想开放所有端口

局域网吧？你现在有没有做DNS服务？

开放udp 53端口

我是仅仅保护这台debian机器自己，这台机器在局域网里面
放开udp53和icmp已经可以ping了

我的想法是：
打开22端口，可以ssh
对同网段的机器开放80和8118(privoxy)端口
开放9050端口(tor)
可以ping，但是做阀值限制
需要使用apt，所有这台机器要能进行dns查询，同时可以让外来的非建立TCP连接的包通过。

现在配置如下，大家看看有什么问题。


sec-rd-debian:/etc/init.d# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- localnet/24 sec-rd-debian tcp dpt:www
ACCEPT tcp -- localnet/24 sec-rd-debian tcp dpt:8118
ACCEPT icmp -- anywhere anywhere limit: avg 4/sec burst 5
ACCEPT udp -- anywhere anywhere udp spt:domain
ACCEPT tcp -- anywhere sec-rd-debian tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere tcp dpt:9050

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
sec-rd-debian:/etc/init.d#


已经可以apt了，但是tor还是不行，tor还要加一个
ACCEPT tcp -- anywhere anywhere tcp spt:9050
才行，不知道为什么