我想过滤进入我的 Linux 机器的流量,以便端口显示为关闭而不是“已过滤”。
使用 iptables,除了我打算打开的端口( )之外,我还对流量(IPv4)-j ACCEPT进行了以下操作:INPUT
- 对于已建立或相关的连接(使用
-m conntrack),忽略并接受 - 对于 TCP,
-j REJECT --reject-with tcp-reset应该发送一个 TCP RST 数据包 - 对于 UDP,拒绝
icmp-port-unreachable - 对于 ICMP,接受回应请求(以便可以 ping 通),并响应
icmp-proto-unreachable - 对于其他所有情况(除 1、6 和 17 之外的协议),响应
icmp-proto-unreachable
对于 IPv6,除 TCP 之外的所有内容都会被拒绝icmp6-port-unreachable。我没有过滤任何OUTPUT流量。
我是否应该采取额外措施或设置是否足够全面?