我在服务器上设置了iptables,只允许列入白名单的ips访问它:
:INPUT ACCEPT [1695:323274] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [987:756890] :xxx - [0:0] -A INPUT -s 12.34.56.78/32 -j ACCEPT -A INPUT -s 98.76.54.32/32 -j ACCEPT -A INPUT -j DROP 这是因为它允许12.34.56.78和98.76.54.32(示例IP,显然)访问服务器。 但是,服务器本身无法访问Internet。 EG我无法使用lynx浏览器访问Google。
我不介意这种行为,但有一些网站,我需要服务器能够谈话,特别是更新网站。
我可以添加什么规则来允许我的服务器与白名单服务器交谈?
-A INPUT -j DROP正在丢弃所有传入的stream量,包括你的例子中的谷歌回复。
将该规则更改为-A INPUT -p tcp --dport 80 -j DROP ,以阻止传入请求到您的Web服务器(您可能需要添加https端口443和其他您不想公开的服务),同时允许您从您从服务器启动的连接接收stream量。
另一种select是允许stream量与iptables -A INPUT -m state --state ESTABLISHED -j ACCEPTbuild立连接iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT