如何在Ubuntu中阻止除三个端口之外的所有端口?

前端之家收集整理的这篇文章主要介绍了如何在Ubuntu中阻止除三个端口之外的所有端口?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
如何阻止除1962,999,12020之外的所有端口?

一个用于SSH的端口和另外两个用于某种脚本的端口.那么,有必要在这些端口上允许传出,对吗?

我的iptables:

# Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012
*mangle
:PREROUTING ACCEPT [643521:136954367]
:INPUT ACCEPT [643521:136954367]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [645723:99904505]
:POSTROUTING ACCEPT [645723:99904505]
COMMIT
# Completed on Sat Feb 25 17:25:21 2012
# Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012
*filter
:INPUT ACCEPT [643490:136950781]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [645723:99904505]
-A INPUT -p tcp -m tcp --dport 1962 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 999 -j ACCEPT 
COMMIT
# Completed on Sat Feb 25 17:25:21 2012
# Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012
*nat
:PREROUTING ACCEPT [5673:734891]
:POSTROUTING ACCEPT [2816:179474]
:OUTPUT ACCEPT [2816:179474]
COMMIT
# Completed on Sat Feb 25 17:25:21 2012

对不起,但对于这些东西,我是一个真正的新手,我只是想让我的服务器更安全.

起初你应该总是冲洗,以确定已经定义了什么……没有
iptables -F

如果到达结尾并且没有匹配规则,则将INPUT链的默认策略设置为DROP:

iptables -P INPUT DROP

为确保环回不受影响,您应该添加

iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

允许所有流量在你所建立的连接的lo-if和每个incomming流量上.之后添加您的服务所需的每条规则(如果需要,请不要忘记打开ssh!否则你就出局了):

iptables -A INPUT -p tcp -m tcp --dport 1962 -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 999 -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 12020 -j ACCEPT

我做的一个小技巧是让自己和其他人不小心钻进安全漏洞我最后添加

iptables -A INPUT -j DROP

此行匹配INPUT链的所有内容,策略不应获取任何内容.这样做的好处是,即使您在初始化规则集后的某个时间添加了ACCEPT规则,它也永远不会被检查,因为之前所有内容都已被删除.所以它确保你必须把所有东西都放在一个地方.

对于你的问题,整个事情总结如下:

iptables -F
iptables -P INPUT DROP
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 1962 -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 999 -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 12020 -j ACCEPT 
iptables -A INPUT -j DROP

猜你在找的Ubuntu相关文章