我的防火墙脚本最后有以下规则和策略:
$IPT=/sbin/iptables ... $IPT -P FORWARD ACCEPT $IPT -F FORWARD # Forward port 2206 to data6 $IPT -A INPUT -i eth1 -s 192.168.1.0/24 -d 6X.XXX.XXX.YY7 -p tcp --destination-port 2206 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 2206 -j DNAT --to-destination 192.168.1.2:22 # accept port 22 for the machine 192.168.1.2 $IPT -A FORWARD -j ACCEPT --protocol tcp --destination 192.168.1.2 --destination-port 22 有了这些规则,我可以直接ssh 192.168.1.2或ssh -p 2206 6X.XXX.XXX.YY7主机192.168.1.2 。
我想将默认的转发策略从ACCEPT更改为DROP 。 但是,当我尝试这个我没有访问主机192.168.1.2 。
我应该担心默认的接受政策吗?
如何调整规则以使用DROP策略?
如果将默认策略更改为DROP,则需要允许stream量从192.168.1.2:22通过防火墙返回。
$IPT -A FORWARD -j ACCEPT -m conntrack --ctstate ESTABLISHED $IPT -A FORWARD -j ACCEPT -p tcp -d 192.168.1.2 --dport 22
可能还需要通过添加以下内容来允许反向DNS查找:
$IPT -A FORWARD -j ACCEPT -p udp -s 192.168.1.2 --dport 53
您可以保留默认策略,只需在脚本末尾添加$IPT -A FORWARD -j DROP即可有效删除以前未匹配的任何内容。