IPTables:限制特定 IP 范围的传出协议

IPTables:限制特定 IP 范围的传出协议

关于 OUTPUT 链:我想要一个默认的 ACCEPT 策略,但对于特定的目标 CIDR,我想要仅允许通过 SSH 进行传出连接。来自该 CIDR 的传入流量必须保持不受限制。目前 OUTPUT 链没有任何限制。

我在想这个:

iptables -F OUTPUT
iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d myCIDR --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -d myCIDR -m state --state NEW -j REJECT

我接近了吗?

谢谢!

答案1

您的问题不清楚。您是否只想允许 SSH 连接?

如果是这样,您可以使用以下规则:

iptables -A INPUT -p tcp -s cidr_here --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

您已使用 --dport(目标端口)将第 22 个端口写入 OUTPUT 链。在本例中,它不是目标端口。它应该是源端口。

相关内容