我正在使用 centos7 并设置了以下规则:
*filter
:INPUT DROP [6:394]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [42:6917]
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 433 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
COMMIT
但不知为何,当我尝试发送电子邮件时,端口 25 无法正常工作。如果我禁用 iptables,一切正常,所以我知道这与此有关。我在这里做错了什么?当我进行端口扫描时,显示为打开的唯一端口是 SSH、HTTP、FTP 和 MYSQL。
答案1
这些有什么原因吗?
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
看起来你正在阻止所有新的 ( SYN
) 连接?我很惊讶一切都成功了。
我只想将其作为第一个条目:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT