iptables——我這樣做對嗎？

更新

男孩，我很高興我問。好的，我會再試一次並發布另一個問題。

---

我想設置一個 CentOS 5.3 主機只允許 ping、ssh、httpd 和 SSL 連接。

在閱讀了教程並嘗試創建配置後，這就是我所在的位置…

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
REJECT     all  --  anywhere             127.0.0.0/8         reject-with icmp-port-unreachable 
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https 
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request 
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain RH-Firewall-1-INPUT (0 references)
target     prot opt source               destination

在我看來，好像我已經完成了我的目標，但我想我會在這裡與專家仔細檢查。

有什麼看起來大錯特錯的嗎？

您的策略（輸出除外）應設置為 drop（以下程式碼假定沒有規則）

從這個開始

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP 

現在添加您可能需要在介面上偵聽的任何其他服務

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

除非您限制它，否則不要使用拒絕…請記住，對於發送的每個被拒絕的數據包，都會發回一個，這會產生大量流量。我說只是不要使用它

我在這裡寫了一個供桌面使用的東西

引用自：https://serverfault.com/questions/84802