我为什么需要这个

Question

在我提供规则集之前，请注意以下几点：

避免通过脚本修改防火墙。最佳流程：
1. 使用命令保存当前规则集iptables-save > fwrules.v4
2. 编辑规则
3. 使用命令测试规则iptables-restore -t fwrules.v4
4. 使用命令安全应用规则iptables-apply -t <timeout> fwrules.v4。其中<timeout>确认超时时间（以秒为单位）。如果您不确认新规则集，它将回滚到上一个规则集。
我猜测服务器有一个网络接口。
规则本身设置：

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

# allow reply packets
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# allow incoming ICMP like ping and other
-A INPUT -p icmp -j ACCEPT

# allow to ssh and to jenkins from anywhere
-A INPUT -m conntrack --ctstate NEW -p tcp -m multiport --dports 22,8080 -j ACCEPT

# allow localhost connections
-A INPUT -i lo -j ACCEPT

# allow output packets to trust host
-A OUTPUT --dst 10.0.0.12 -j ACCEPT

# block output packets to other lan hosts
-A OUTPUT --dst 10.0.0.0/8 -j REJECT

COMMIT

DNS 服务器地址又如何？如果它们位于本地子网中，您也应该允许它。
规则的顺序非常重要。

Answer 1

在我提供规则集之前，请注意以下几点：

避免通过脚本修改防火墙。最佳流程：
1. 使用命令保存当前规则集iptables-save > fwrules.v4
2. 编辑规则
3. 使用命令测试规则iptables-restore -t fwrules.v4
4. 使用命令安全应用规则iptables-apply -t <timeout> fwrules.v4。其中<timeout>确认超时时间（以秒为单位）。如果您不确认新规则集，它将回滚到上一个规则集。
我猜测服务器有一个网络接口。
规则本身设置：

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

# allow reply packets
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# allow incoming ICMP like ping and other
-A INPUT -p icmp -j ACCEPT

# allow to ssh and to jenkins from anywhere
-A INPUT -m conntrack --ctstate NEW -p tcp -m multiport --dports 22,8080 -j ACCEPT

# allow localhost connections
-A INPUT -i lo -j ACCEPT

# allow output packets to trust host
-A OUTPUT --dst 10.0.0.12 -j ACCEPT

# block output packets to other lan hosts
-A OUTPUT --dst 10.0.0.0/8 -j REJECT

COMMIT

DNS 服务器地址又如何？如果它们位于本地子网中，您也应该允许它。
规则的顺序非常重要。

我为什么需要这个

我为什么需要这个

我需要什么

我尝试过什么

答案1

相关内容