我有一个虚拟机在Debian上。 我已经对HN进行了一些修改,以允许vm中的有状态防火墙( http://wiki.openvz.org/Setting_up_an_iptables_firewall )。
这是我的防火墙脚本:
#冲洗所有规则 iptables -F iptables -X #设置默认的过滤策略 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #环回时允许无限stream量 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #允许所有相关的和build立的TCP连接到my_machine。 iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT #https iptables -A INPUT -p tcp -s 0/0 - 端口513:65535 - 端口443 -m状态 - 状态NEW,ESTABLISHED -j ACCEPT #允许ping iptables -A INPUT -p icmp -m icmp -icmp -type 8 -j ACCEPT #只允许传入的SSH iptables -A INPUT -p tcp -s 0/0 --sport 513:65535 --dport 22 -m状态--state NEW,ESTABLISHED -j ACCEPT #确保没有任何事情来 iptables -A INPUT -j DROP #允许所有传出连接 iptables -A OUTPUT -j ACCEPT
iptables -L
iptables -L 链条input(政策DROP) 目标人select源目的地 随时随地接受 接受tcp - 任何地方的任何地方状态RELATED,ESTABLISHED ACCEPT tcp - 任何地方任何地方tcp spts:login:65535 dpt:https状态NEW,ESTABLISHED 接受icmp - 任何地方任何地方icmp回声请求 接受tcp - 任何地方任何地方tcp spts:login:65535 dpt:ssh状态NEW,ESTABLISHED 全部放在任何地方 Chain FORWARD(政策DROP) 目标人select源目的地 链OUTPUT(政策DROP) 目标人select源目的地 随时随地接受 随时随地接受
当我尝试使用fsockopen。 它失败。 为什么?
提前致谢
我添加这个规则,我工作得很好:
#允许DNS客户端请求 iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT