私のUbuntuコンピュータでiptablesを設定しようとしています。私のルールは次のとおりです。
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:ftps-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftps
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
残念ながら、Webブラウザを使用しようとすると接続されません。読み込みを続ける空のページです。 www.google.comにpingを送信しようとしましたが、接続を確立できませんでした。ポートをさらに開く必要がありますか?
[編集]ルールを変更しました。新しいルールは次のとおりです。
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state NEW,ESTABLISHED
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
今大丈夫! ! :)十分に安全であることを願っています。これにより、自分で作成した接続を除くすべてのトラフィックがブロックされます。
答え1
関連する接続を許可しません...クイック回避策...:
#iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
PS:緊急に投稿して申し訳ありません。私は職場にいます。詳細を持って戻ります。
答え2
ペトリはほとんどやった。
デフォルトでは、設定でトラフィックを許可します。到着http/https/ftp ポートですが、着信トラフィックを許可しません。~からポート - クエリが発行されますが、応答は破棄されます。
ほとんどの最新のファイアウォール(「1995年頃」以降に定義されています)と同様に、Linuxファイアウォールは接続を追跡し、ステータスベースのフィルタリングを可能にします。
この行の目的iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTは、すべてを網羅することです。つまり、ファイアウォール設定の他のルールから開始を許可するすべてのトラフィックは、ユーザー側に追加の明示的なルールがなくても進むことができます。