Linux
iptables——我這樣做對嗎?
更新
男孩,我很高興我問。好的,我會再試一次並發布另一個問題。
我想設置一個 CentOS 5.3 主機只允許 ping、ssh、httpd 和 SSL 連接。
在閱讀了教程並嘗試創建配置後,這就是我所在的位置…
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere REJECT all -- anywhere 127.0.0.0/8 reject-with icmp-port-unreachable ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere tcp dpt:http ACCEPT tcp -- anywhere anywhere tcp dpt:https ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh ACCEPT icmp -- anywhere anywhere icmp echo-request REJECT all -- anywhere anywhere reject-with icmp-port-unreachable Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- anywhere anywhere reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere Chain RH-Firewall-1-INPUT (0 references) target prot opt source destination
在我看來,好像我已經完成了我的目標,但我想我會在這裡與專家仔細檢查。
有什麼看起來大錯特錯的嗎?
您的策略(輸出除外)應設置為 drop(以下程式碼假定沒有規則)
從這個開始
iptables -A INPUT -m state --state INVALID -j DROP iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP
現在添加您可能需要在介面上偵聽的任何其他服務
iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT
除非您限制它,否則不要使用拒絕…請記住,對於發送的每個被拒絕的數據包,都會發回一個,這會產生大量流量。我說只是不要使用它
我在這裡寫了一個供桌面使用的東西