iptables如何实现“先拒绝所有的数据包,再允许需要的数据包”
iptables如何实现“先拒绝所有的数据包,再允许需要的数据包”?
例如实现本机上网的代码:
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A INPUT - i lo -j ACCEPT
/sbin/iptables -A OUTPUT - i lo -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -s 0/0 -d any/0 --dport 80 -j ACCEPT
为什么不行?
希望高手说说其中缘由!谢谢
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(9)
复制代码
置顶有我写的一篇 PPT,你可以看一下,讲的很详细也很通俗易懂,而且还有例子以及分析
哦,谢谢
service iptables stop
modprobe ip_conntrack_ftp
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -P INPUT DROP不能放在前面?放在前面不能实现吗?<<iptables-1.1.9指南>>中的例子都是先放在前面。。。疑惑。。。
看来得去慢慢看罗,哈,不仅仅要“型似”而且要“神似”!
哦,我错了!
版主,你能对“先禁止所有的包,然后再根据需要的服务允许特定的包通过防火墙”示范一下吗?
例如,只允许本机上网!
谢谢了
上面说的很清楚了,不是你说的“先拒绝所有的数据包,再允许需要的数据包”啊
噢,发现一个问题:标题是拒绝,上面文章是禁止;如果用拒绝是错误的,我对不起大家了!
请看《《基于Linux系统的包过滤防火墙》》
http://www.cpcwedu.com/Document/firewall/085551238.htm
以下的片段摘自上面的文章:
(2)设置链的默认策略。一般地,配置链的默认策略有两种方法。
1) 首先允许所有的包,然后再禁止有危险的包通过防火墙。即“没有被拒绝的都允许”。这种方法对于用户而言比较灵活方便,但对系统而言,容易引起严重的安全问题。
为此,应该使用如下的初始化命令:
#iptables -P INPUT ACCEPT
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD ACCEPT
2) 首先禁止所有的包,然后再根据需要的服务允许特定的包通过防火墙。即“没有明确允许的都被拒绝”。这种方法最安全,但不太方便。为了使得系统有足够的安全性,一般采用此种策略进行iptables防火墙的配置。
为此,应该使用如下的初始化命令:
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWAED DROP
<<iptables-1.1.9指南>>中的例子都是
先
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
的
那又是为什么?
逻辑上就行不通
请问,如何实现“先枪毙所有的犯人,再把刑期少的放出来”?