Linux

iptables——我這樣做對嗎?

  • November 15, 2009

更新

男孩,我很高興我問。好的,我會再試一次並發布另一個問題


我想設置一個 CentOS 5.3 主機只允許 ping、ssh、httpd 和 SSL 連接。

在閱讀了教程並嘗試創建配置後,這就是我所在的位置…

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
REJECT     all  --  anywhere             127.0.0.0/8         reject-with icmp-port-unreachable 
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https 
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request 
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain RH-Firewall-1-INPUT (0 references)
target     prot opt source               destination

在我看來,好像我已經完成了我的目標,但我想我會在這裡與專家仔細檢查。

有什麼看起來大錯特錯的嗎?

您的策略(輸出除外)應設置為 drop(以下程式碼假定沒有規則)

從這個開始


iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP 

現在添加您可能需要在介面上偵聽的任何其他服務


iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

除非您限制它,否則不要使用拒絕…請記住,對於發送的每個被拒絕的數據包,都會發回一個,這會產生大量流量。我說只是不要使用它

我在這裡寫了一個供桌面使用的東西

引用自:https://serverfault.com/questions/84802