Iptables v1.60,将策略改为 Drop

Iptables v1.60,将策略改为 Drop

我有两个问题。首先:我想在我的 Ubuntu 16.04 服务器上配置 iptables,例如:INPUT policy DROP然后逐个允许端口。一切正常,但是当我输入:时iptables -p INPUT -j ACCEPT,Ubuntu 告诉我:iptables v1.60: -p request chain or policy。我使用分隔符-A,但策略是ACCEPT

第二:iptables 中需要允许什么才能接受“apt-get”。我被允许dport 53 (udp and tcp)80 (tcp),但什么都没有,只是写 (Connection 0%)

O。

答案1

如果您不公布规则,我们很难甚至不可能给您提供建议。请记住,规则的顺序很重要。

一般建议:

  1. DROP 是个糟糕的选择,请使用 REJECT。DROP 并不安全,也不会隐藏您的 IP 地址,破解工具非常复杂,可以确定您使用的是您的 IP 地址,而 DROP 只会影响合法流量。

破解工具大部分都是自动化的,不严格,不遵循网络规则,不等待确认或连接超时。DROP 不会以任何方式减慢它们的速度。破解者会在后台或夜间运行它们,然后稍后查看输出,他们通常会在工具运行时玩游戏。

看 - http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject

  1. 切勿将默认策略设置为 DROP 或 REJECT。如果您清除规则,您将被锁定。

相反,将默认策略保留为“接受”,并将“拒绝”添加为链中的最后一条规则。

  1. 如果您对命令有疑问,请发布您运行和输出的命令。复制粘贴或使用 pastebinit

https://help.ubuntu.com/community/Pastebinit

也可以看看http://bodhizazen.com/Tutorials/iptables

  1. 使用 iptables persistent 保存你的规则

服务器重启时 iptables 会重置

答案2

您需要接受传入流量

iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

将其作为 INPUT 链中的第一条规则。

相关内容