xen*_*ide 31
很久以前我写了一篇关于桌面用户基本 Iptables 规则的博客文章,你可能应该阅读它,以及它关于状态防火墙设计的链接文章。但是内核 2.6.39 之前的版本(ipset如果您有 10 个以上的白名单(其中 10 个是任意的),那么您可能希望使用它来将 IP 列入白名单)。
首先处理我们知道要接受或删除的状态和接口。
iptables -P FORWARD DROP # we aren't a router
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 192.168.1.1 -j ACCEPT
iptables -P INPUT DROP # Drop everything we don't accept
如果你只想通过 IP 做一个允许,没有状态
iptables -A INPUT -s 192.168.1.1 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
不过,这样做可能会遇到问题,我建议使用 state 来让您的生活更轻松。例如,不允许-i lo并且-o lo肯定会导致某些应用程序出现问题。
Gil*_*il' 10
这是一个(未经测试!)仅阻止传入连接的示例。允许通过环回接口连接,来自 192.168.3.x、ICMP 或到 SSH 端口。所有其他连接都被拒绝。
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j REJECT
小智 9
以下规则将仅允许您的 IP 并阻止所有其他 IP 通过端口 22 或 ssh。断开连接前用新端子进行测试。
iptables -I INPUT -p tcp ! -s yourIPaddress --dport 22 -j DROP
| 归档时间: |
|
| 查看次数: |
175180 次 |
| 最近记录: |