→ kdjf:第一個的結果是斷網吧....10/06 12:00
推 hukhuk:二個別人都無法建syn到你的本機裡10/06 14:38
→ kdjf:第二個不開server的人沒什麼差啦10/06 15:41
推 cem236321:第一二個都是直接斷網吧....10/06 21:13
推 cem236321:囧?不是SERVER喔? 10/06 21:22
→ OrzOGC:有架server的話再開需要的port就好 10/06 21:42
推 Tetralet:就個人所知(有錯請指正),第一個寫法,會完全連不上網 10/07 01:43
→ Tetralet:但 FORWARD 的封包可以過去... 這是 router 才有用的規則 10/07 01:44
→ Tetralet:但,要當 router,很可能尚欠一條 MASQUERADE 之類的規則 10/07 01:45
→ Tetralet:還有要設 ip_forward 之類的 10/07 01:45
→ Tetralet:第二條規則,大多是用在主動式 FTP 那種會開2個 port 的 10/07 01:47
→ Tetralet:但你又沒收 NEW 之類的封包,所以這幾條規則應該是無意義 10/07 01:48
→ Tetralet:也就是,別人怎麼樣都進不來的 10/07 01:49
感謝各位的回覆,我確實是要用在server上的,我少貼了下面的規,現在一起補上。
#!/bin/bash
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD ACCEPT
#eth0/ppp0
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#localhost
iptables -A INPUT -i lo -j ACCEPT
#intranet
iptables -A INPUT -i eth0 -S 192.168.0.0/24 -j ACCEPT
#ssh
iptables -A INPUT -i ppp0 -p tcp --dport xx -j ACCEPT
#webmin
iptables -A INPUT -i ppp0 -p tcp --dport xx -j ACCEPT
#Apache2
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
#Proftpd
iptables -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m multiport -p tcp --dports 49152:65534 -j ACCEPT
#noip2
iptables -A OUTPUT -o ppp0 -p tcp --dport 8245 -j ACCEPT
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 111.243.95.157
※ 編輯: prsb 來自: 111.243.95.157 (10/07 11:27)