这就是我所拥有的:iptables -i em1 -A INPUT -j ACCEPT -p tcp --dport 9001 -v。如果我想接受此地址(127.0.0.1 或网络 192.168.1.143)端口 9001 上的传入连接,我做错了什么?
答案1
我认为你的命令很好。尽管论证顺序有点不正统,但它应该有效。
问题很可能是iptables规则按照输入的顺序生效。如果您输入匹配的阻止规则,然后输入允许规则,则不会使用允许规则,因为数据包已与阻止规则匹配。
设置时的一般做法iptables是刷新所有规则,设置策略,然后输入您想要允许的所有内容,然后使用广泛匹配规则拒绝其他所有内容。我怀疑您的顺序错误,并且由于之前设置的规则而拒绝一切,现在尝试添加允许。
答案2
如果这些是你唯一的规则,你应该极度封闭。您可能想要限制从中接受数据的 IP 地址。通常使用接受 RELATED 和 ESTABLISHED 连接的规则来启动链。
如果您不确定自己在做什么,您可能需要使用工具来构建防火墙。我用岸墙这是有据可查的。它将为您生成日志记录规则,以便您可以看到被阻止的流量。 (默认配置中不会记录常见的探测端口(例如 Windows 共享)。)文档中包含 1、2 和 3 接口配置的示例集。还有一些命令可以让您轻松查看防火墙配置和连接。