对于没有防火墙的 CentOS Web 服务器,我设置了一些输入链 iptables 规则,以便只打开来自互联网的 80 端口,只允许来自我的 IP 的 SSH 等等。此服务器上只有 Apache 提供 HTTP 请求(端口 80)。
但是输出链呢?只允许输入链允许的相同端口是一种好的做法吗?由于未使用 Forward,我可以将默认策略设置为 DROP 吗?
答案1
将输出链默认为没有规则的 DROP 将停止来自服务器的所有流量。
这个链接是一个非常好的指南,介绍了如何为 ssh 和 http 设置 iptables,包括输出链,基本上你需要确保允许来自你机器的流量通过你期望的端口,在本例中是 22 和 80 以及可能向外部发出的任何其他服务(NTP、DNS 等)
http://www.thegeekstuff.com/2011/03/iptables-inbound-and-outbound-rules/