服务器: Ubuntu Server 10.04 LTS
我的 iptables 已锁定,因此只允许 ssh 和 http 流量进入。我试图隧道 sql 示例:ssh -L 3306:127.0.0.1:3306 my@domain.com如果我将 INPUT 设置为 ALLOW,它可以正常工作,但作为您可以在下面看到它设置为丢弃,因此我的端口被阻止。我认为这只是我需要添加的规则,但我在 google 上找到的所有内容都失败了。想法?
iptables.up.rules
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [57:4388]
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -m …服务器: Ubuntu 10.04 LTS x64(机架空间的云服务器)
试图更好地处理 iptables。除了 SSH 和 HTTP 之外,所有的流量都应该被丢弃。所有外出都是安全的。没有前锋。我下面的代码基于我找到的一个示例,但是我找不到任何文档来解释过滤器的范围,例如“:INPUT DROP [0:65536]” 0:65536 假设要设置什么?我猜到了端口范围,所以我给了它完整的范围,但随后传出它的默认值要高得多。它是不同的,但改变它似乎没有任何影响。它有什么作用?
其次,当流量被阻止时,使用完全连接“-sT”的 nmap 扫描仍然显示一些 20-30 个端口是开放的,但是使用 netcat 抓取横幅没有显示任何内容。这是正常的吗?
我的测试方法是(作为 root)。
iptables -F
iptables -L(检查其已刷新)
iptables-restore < iptables.test.rules
iptables.test.rules
*filter
:INPUT DROP [0:65536]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1628:151823]
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 …