iptables 防护墙配置

战魔312

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  113.107.24.144       192.168.0.12      
DROP       all  --  183.14.11.236        192.168.0.12      
DROP       all  --  117.9.100.242        192.168.0.12      
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.12      tcp dpt:22 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.12      tcp dpt:80 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.12      tcp dpt:873 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.12      tcp dpt:443 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.12      tcp dpt:1234 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            192.168.0.12      tcp dpt:8001 state NEW,RELATED,ESTABLISHED
REJECT     all  --  0.0.0.0/0            192.168.0.12      reject-with icmp-host-prohibited


我配置的规则，能禁止113.107.24.144，183.14.11.236 ，117.9.100.242  这三个地址访问192.168.0.12这个主机么？我配置后没有达到目标，这个三个IP还是可以访问我的主机。

yestreenstars

192.168.0.12是配置iptables防火墙的那台服务器么？

战魔312

是的

回复 2# yestreenstars


   

yestreenstars

你试一下把那三条规则挪到下面这条规则后面：

1. ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

复制代码

阿鸾44

iptables-save 保存规则重启看看。

iptables有个现象，（不知道是bug还是故意）因为connecttrack维护一个连接，连接一定时间后才超时，很多情况下，因为配置前已经建立连接，配置后连接没有超时，因此connecttrack仍然维护着这个连接，导致没DROP掉。

你可以进行测试，当你这样配不生效的时候，某台电脑换个ip，相应地添加一条DROP规则，因为新配置ip没有进行过任何连接，看看新配置的ip是否被拦截

abc3w

input 链一般不写目的IP，默认本机所有IP，只需指明源（iptables -I INPUT -i eth1 -s x.x.x.x/x -j DROP）。