论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2006-07-19 10:05 |只看该作者 |倒序浏览

iptables如何实现“先拒绝所有的数据包，再允许需要的数据包”？

例如实现本机上网的代码：

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

/sbin/iptables  -A INPUT -  i lo -j ACCEPT
/sbin/iptables  -A OUTPUT  -  i lo  -j ACCEPT
/sbin/iptables -A FORWARD －p tcp -s 0/0  －d any/0 --dport 80 -j ACCEPT

为什么不行？
希望高手说说其中缘由！谢谢

platinum

广告杀手

论坛徽章:: 0

2楼 [报告]

发表于 2006-07-19 10:07 |只看该作者

原帖由 diyself 于 2006-7-19 10:05 发表
iptables如何实现“先拒绝所有的数据包，再允许需要的数据包”？

逻辑上就行不通

请问，如何实现“先枪毙所有的犯人，再把刑期少的放出来”？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

diyself

家境小康

论坛徽章:: 0

3楼 [报告]

发表于 2006-07-19 10:13 |只看该作者

<<iptables-1.1.9指南>>中的例子都是

先
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

的

那又是为什么？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

diyself

家境小康

论坛徽章:: 0

4楼 [报告]

发表于 2006-07-19 10:20 |只看该作者

请看《《基于Linux系统的包过滤防火墙》》
http://www.cpcwedu.com/Document/firewall/085551238.htm

以下的片段摘自上面的文章：

(2)设置链的默认策略。一般地，配置链的默认策略有两种方法。

1）首先允许所有的包，然后再禁止有危险的包通过防火墙。即“没有被拒绝的都允许”。这种方法对于用户而言比较灵活方便，但对系统而言，容易引起严重的安全问题。

为此，应该使用如下的初始化命令：

#iptables -P INPUT ACCEPT

#iptables -P OUTPUT ACCEPT

#iptables -P FORWARD ACCEPT

2）首先禁止所有的包，然后再根据需要的服务允许特定的包通过防火墙。即“没有明确允许的都被拒绝”。这种方法最安全，但不太方便。为了使得系统有足够的安全性，一般采用此种策略进行iptables防火墙的配置。

为此，应该使用如下的初始化命令：

#iptables -P INPUT DROP

#iptables -P OUTPUT DROP

#iptables -P FORWAED DROP

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

diyself

家境小康

论坛徽章:: 0

5楼 [报告]

发表于 2006-07-19 10:22 |只看该作者

噢，发现一个问题：标题是拒绝，上面文章是禁止；如果用拒绝是错误的，我对不起大家了！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

6楼 [报告]

发表于 2006-07-19 10:27 |只看该作者

1）首先允许所有的包，然后再禁止有危险的包通过防火墙。即“没有被拒绝的都允许”。这种方法对于用户而言比较灵活方便，但对系统而言，容易引起严重的安全问题。

为此，应该使用如下的初始化命令：

#iptables -P INPUT ACCEPT

#iptables -P OUTPUT ACCEPT

#iptables -P FORWARD ACCEPT

2）首先禁止所有的包，然后再根据需要的服务允许特定的包通过防火墙。即“没有明确允许的都被拒绝”。这种方法最安全，但不太方便。为了使得系统有足够的安全性，一般采用此种策略进行iptables防火墙的配置。

为此，应该使用如下的初始化命令：

#iptables -P INPUT DROP

#iptables -P OUTPUT DROP

#iptables -P FORWAED DROP

上面说的很清楚了，不是你说的“先拒绝所有的数据包，再允许需要的数据包”啊

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

diyself

家境小康

论坛徽章:: 0

7楼 [报告]

发表于 2006-07-19 10:32 |只看该作者

哦，我错了!

版主，你能对“先禁止所有的包，然后再根据需要的服务允许特定的包通过防火墙”示范一下吗？
例如，只允许本机上网！

谢谢了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

8楼 [报告]

发表于 2006-07-19 10:41 |只看该作者

service iptables stop
modprobe ip_conntrack_ftp
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

复制代码

置顶有我写的一篇 PPT，你可以看一下，讲的很详细也很通俗易懂，而且还有例子以及分析

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

diyself

家境小康

论坛徽章:: 0

9楼 [报告]

发表于 2006-07-19 10:48 |只看该作者

哦，谢谢

service iptables stop
modprobe ip_conntrack_ftp
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

iptables -P INPUT DROP不能放在前面？放在前面不能实现吗？<<iptables-1.1.9指南>>中的例子都是先放在前面。。。疑惑。。。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

diyself

家境小康

论坛徽章:: 0

10楼 [报告]

发表于 2006-07-19 10:51 |只看该作者

看来得去慢慢看罗，哈，不仅仅要“型似”而且要“神似”！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 / 2 页下一页

返回列表

Chinaunix › 论坛 › 操作系统 › Linux论坛 › 网络与硬件 › iptables如何实现“先拒绝所有的数据包，再允许需要的数 ...

iptables如何实现“先拒绝所有的数据包，再允许需要的数据包” [复制链接]

浏览过的版块