我有两个问题。首先:我想在我的 Ubuntu 16.04 服务器上配置 iptables,例如:INPUT policy DROP然后逐个允许端口。一切正常,但是当我输入:时iptables -p INPUT -j ACCEPT,Ubuntu 告诉我:iptables v1.60: -p request chain or policy。我使用分隔符-A,但策略是ACCEPT。
第二:iptables 中需要允许什么才能接受“apt-get”。我被允许dport 53 (udp and tcp)和80 (tcp),但什么都没有,只是写 (Connection 0%)
O。
答案1
如果您不公布规则,我们很难甚至不可能给您提供建议。请记住,规则的顺序很重要。
一般建议:
- DROP 是个糟糕的选择,请使用 REJECT。DROP 并不安全,也不会隐藏您的 IP 地址,破解工具非常复杂,可以确定您使用的是您的 IP 地址,而 DROP 只会影响合法流量。
破解工具大部分都是自动化的,不严格,不遵循网络规则,不等待确认或连接超时。DROP 不会以任何方式减慢它们的速度。破解者会在后台或夜间运行它们,然后稍后查看输出,他们通常会在工具运行时玩游戏。
看 - http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject
- 切勿将默认策略设置为 DROP 或 REJECT。如果您清除规则,您将被锁定。
相反,将默认策略保留为“接受”,并将“拒绝”添加为链中的最后一条规则。
- 如果您对命令有疑问,请发布您运行和输出的命令。复制粘贴或使用 pastebinit
https://help.ubuntu.com/community/Pastebinit
也可以看看http://bodhizazen.com/Tutorials/iptables
- 使用 iptables persistent 保存你的规则
答案2
您需要接受传入流量
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
将其作为 INPUT 链中的第一条规则。