これが私が持っているものですiptables -i em1 -A INPUT -j ACCEPT -p tcp --dport 9001 -v。このアドレス(127.0.0.1またはネットワーク192.168.1.143)のポート9001からの着信接続を受け入れようとした場合、私は間違っていますか?
答え1
注文がうまくいったようです。引数の順序はやや正統的ではありませんが、うまくいきます。
問題は、iptablesルールが入力された順序で適用されることです。一致するブロックルールを入力した後に許可ルールを入力すると、パケットはすでにブロックルールと一致するため、許可ルールは使用されません。
これを設定する際の一般的な方法iptablesは、すべてのルールを更新し、ポリシーを設定してから、許可するすべてのエントリを入力し、拡張検索ルールを使用して他のすべてのエントリを拒否することです。順序が間違っていて、以前に設定した規則のためにすべてを拒否しているようです。ここで許可を追加してみてください。
答え2
これが唯一のルールであれば、非常に閉鎖的な態度を取る必要があります。データが許可されるIPアドレスを制限できます。チェーンは通常、RELATED および ESTABLISHED 接続を許可するルールを使用して開始されます。
現在行っていることがわからない場合は、ツールを使用してファイアウォールを構築できます。私は使う桟橋の壁これはよく文書化されています。ブロックされたトラフィックを表示するためのロギングルールを作成します。 (共通プローブポート(Windows共有など)はデフォルト設定には文書化されていません。)文書には、1、2、3インターフェイス設定のサンプルセットが含まれています。ファイアウォールの設定と接続を簡単に表示できるコマンドもあります。