关于 OUTPUT 链:我想要一个默认的 ACCEPT 策略,但对于特定的目标 CIDR,我想要仅允许通过 SSH 进行传出连接。来自该 CIDR 的传入流量必须保持不受限制。目前 OUTPUT 链没有任何限制。
我在想这个:
iptables -F OUTPUT
iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d myCIDR --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d myCIDR -m state --state NEW -j REJECT
我接近了吗?
谢谢!
答案1
您的问题不清楚。您是否只想允许 SSH 连接?
如果是这样,您可以使用以下规则:
iptables -A INPUT -p tcp -s cidr_here --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
您已使用 --dport(目标端口)将第 22 个端口写入 OUTPUT 链。在本例中,它不是目标端口。它应该是源端口。