服务器: Ubuntu 10.04 LTS x64(机架上的云服务器)
试图更好地处理iptables。 除了SSH和HTTP之外,所有stream量都应该丢弃。 所有传出是安全的。 没有转发。 我下面的代码是基于我find的示例,但是我找不到任何文档来解释filter的范围,例如“:INPUT DROP [0:65536]”0:65536是什么设置的? 我猜测端口范围,所以我给了它的全部范围,但是然后传出它默认更高。 这是不同的,但改变它似乎没有任何影响。 它有什么作用?
其次,当stream量被阻止时,全连接的nmap扫描“-sT”仍然显示一些20-30个端口是打开的,但是用netcat抓取的横幅不显示任何内容。 这是正常的吗?
我的testing方法是(作为根)。
iptables -F
iptables -L(检查其刷新)
iptables-restore <iptables.test.rules
iptables.test.rules
*filter :INPUT DROP [0:65536] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1628:151823] -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT #future use #-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT #-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT #-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT COMMIT [ … : … ]中的值是计数器[ 数据包计数 : 字节计数 ]。 在iptables-save格式中,它们用于在运行iptables-restore命令时初始化计数器。 你可以看到他们,当你使用iptables -L -v命令,例如
从iptables-save
:OUTPUT ACCEPT [48793:7859926]
来自iptables -L -v
Chain OUTPUT (policy ACCEPT 48697 packets, 7845K bytes)
你看到哪些端口是开放的? 我只看到我打开的端口。