在我的桌面上,我想非常严格地配置 iptables。除了我发起的互联网流量之外,我认为没有任何理由需要允许任何事情。甚至可能仅限于几个端口。可以关闭我的桌面的基本规则是什么?我只需要:
有什么推荐的规则吗?
以下规则将允许所有传出连接,但阻止任何传入连接。INPUT 和 FORWARD 链默认设置为拒绝数据包,OUTPUT 链默认设置为接受数据包,最后一条规则允许作为现有连接一部分的传入数据包(在本例中只能是传出连接)。
iptables --policy INPUT DROP
iptables --policy FORWARD DROP
iptables --policy OUTPUT ACCEPT
iptables --append INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
iptables --append INPUT --jump REJECT
iptables --append FORWARD --jump REJECT
如果要限制传出流量,您需要将 OUTPUT 策略更改为拒绝,并添加规则以接受某些端口上的流量。例如:
iptables --policy OUTPUT DROP
iptables --append OUTPUT --protocol udp --match multiport --dports domain,bootps --jump ACCEPT
iptables --append OUTPUT --protocol tcp --match multiport --dports domain,http,https,ssh,pop3s,imaps,submission --jump ACCEPT
iptables --append OUTPUT --jump REJECT