Rya*_*lls 3 ubuntu iptables ubuntu-10.04
服务器: Ubuntu 10.04 LTS x64(机架空间的云服务器)
试图更好地处理 iptables。除了 SSH 和 HTTP 之外,所有的流量都应该被丢弃。所有外出都是安全的。没有前锋。我下面的代码基于我找到的一个示例,但是我找不到任何文档来解释过滤器的范围,例如“:INPUT DROP [0:65536]” 0:65536 假设要设置什么?我猜到了端口范围,所以我给了它完整的范围,但随后传出它的默认值要高得多。它是不同的,但改变它似乎没有任何影响。它有什么作用?
其次,当流量被阻止时,使用完全连接“-sT”的 nmap 扫描仍然显示一些 20-30 个端口是开放的,但是使用 netcat 抓取横幅没有显示任何内容。这是正常的吗?
我的测试方法是(作为 root)。
iptables -F
iptables -L(检查其已刷新)
iptables-restore < iptables.test.rules
iptables.test.rules
*filter
:INPUT DROP [0:65536]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1628:151823]
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#future use
#-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
COMMIT
[ ... : ... ] 中的值是计数器 [ packet count : byte count ]。在 iptables-save 格式中,它们用于在您运行 iptables-restore 命令时初始化计数器。当您使用 iptables -L -v 命令时,您可以看到它们,例如
来自 iptables-save
:OUTPUT ACCEPT [48793:7859926]
来自 iptables -L -v
Chain OUTPUT (policy ACCEPT 48697 packets, 7845K bytes)
你看到哪些端口是开放的?我只看到我打开的端口。