DDWRT/iptables - 阻止除 80 和 443 之外的所有端口上的传出连接

Question

这满足了您的要求，我假设您可以通过串行连接，否则您将有效地锁定自己。没有人可以建立传入连接，甚至您也不行。我已将链设置FORWARD为DROP，请更改它以满足您的需求。


:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s $ip -p tcp -m multiport --dports 22,80,443 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -m conntrack --ctstate INVALID -j DROP
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -j DROP
-A OUTPUT -j DROP
COMMIT

替换$ip为您要连接的源 IP。当然，如果您使用区域，则配置完全不同。

Answer 1

这满足了您的要求，我假设您可以通过串行连接，否则您将有效地锁定自己。没有人可以建立传入连接，甚至您也不行。我已将链设置FORWARD为DROP，请更改它以满足您的需求。


:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s $ip -p tcp -m multiport --dports 22,80,443 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -m conntrack --ctstate INVALID -j DROP
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -j DROP
-A OUTPUT -j DROP
COMMIT

替换$ip为您要连接的源 IP。当然，如果您使用区域，则配置完全不同。

DDWRT/iptables - 阻止除 80 和 443 之外的所有端口上的传出连接

答案1

相关内容