作者fashionjack (神奇杰克)
看板Network
标题Re: [问答] mailserver iptable
时间Sat May 20 09:37:15 2017
※ 引述《gmotwm2001 (小马怪)》之铭言:
: 各位大大您好:
: 想请问我用iptables -I INPUT -s 140.11x.116.11x -p tcp --dport ssh -j REJECT
: 然後用桌机(ip) 140.11x.166.11x putty 选ssh登入连线,应该是要登不进去
: 但是还是可以连线,想请问为甚麽呢? 我也把rule放在第一位
: (但它的前面还是有: INPUT ACCEPT)[0:0]
: 用hosts.deny 设定ip就可以连不上 但iptable 就不行..
: 谢谢
#!/bin/sh
PATH=/sbin:/usr/sbin:/bin:/usr/bin
#此处请自行修改
EXT_IF=eth1
#EXT_IF=ppp0
INT_IF=eth0
# ------------- policies -------------
echo "Setting up policies to ACCEPT..."
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
echo "Release special address"
# 这是打开让自己可以方便连结,也就是该外部IP不设防
iptables -A INPUT -p all -s 12x.15x.17x.28/255.255.255.255 -j ACCEPT
#封锁某各别IP
iptables -A INPUT -p all -s 17x.23x.84.x/255.255.255.0 -j DROP
echo "Release service"
# 允许相关连结服务其余未开者则全部关闭。
# iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT
# iptables -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT #DNS
# iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT #DNS
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT #Web
iptables -A INPUT -i eth1 -p tcp --dport 113 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
iptables -A INPUT -i eth1 -j DROP
#port 22...等只开给自己(INPUT -p all),其它port对外仅开放允许的,
未允许的全关,这样才安全。
#以上仅针对外网。
--
\︿_︿/
︿_(@,@)_︿
/ // ( """ )\\\
(/(/(/\ / \)\)\)
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 122.116.198.5
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1495244239.A.B86.html
※ 编辑: fashionjack (122.116.198.5), 05/20/2017 09:56:51