我尝试允许来自我的本地网络的所有传入连接以及来自任何地方的 http/https 连接,同时阻止所有其他流量。
以下是我当前的规则:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- 192.168.0.0/16 anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
据我对 iptables 的了解,这应该可以工作,但由于某种原因,http/https 访问似乎被本地网络外部阻止。
我是否遗漏了什么?
答案1
我最终解决了这个问题。问题是来自 127.0.0.0.0/8 的流量被阻止了(我假设 apache 在本地主机上做了一些事情,需要将其打开)。
这些规则有效!
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- 192.168.0.0/16 anywhere
ACCEPT all -- 127.0.0.0/8 anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination