iptables如何实现“先拒绝所有的数据包，再允许需要的数据包”

platinum

原帖由 diyself 于 2006-7-19 10:48 发表
ervice iptables stop
modprobe ip_conntrack_ftp
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

iptables -P INPUT DROP不能放在前面？放在前面不能实现吗？<<iptables-1.1.9指南>>中的例子都是先放在前面。。。疑惑。。。

其实放哪里都行，因为二者没前后顺序关系
但是，如果你是通过 telnet 或者 ssh 过去的，就一定要用我的方法，因为操作失误而把自己关到外面的滋味实在不好受

diyself

多谢了！

还好，我是在同一间房间ssh过去的，所有来回跑于测试主机和客户机之间。。。所以滋味就是汗

h12345

hoho 我有一次就是把自己给关在外面了 没办法 后来跑到机房现场修改过来的 呵呵

独孤九贱

原帖由 diyself 于 2006-7-19 10:05 发表
iptables如何实现“先拒绝所有的数据包，再允许需要的数据包”？

例如实现本机上网的代码：

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

/sbin/ipta ...

这个很简单呀，把链的默认原则做成“拦截”，然后把你要的数据包“放开”！！！！

symbolzhao

原帖由 diyself 于 2006-7-19 10:05 发表
iptables如何实现“先拒绝所有的数据包，再允许需要的数据包”？

例如实现本机上网的代码：

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

/sbin/ipta ...

首先这是个逻辑问题，有点类似路由表，先是静态路由，最后是默认路由。
iptables -P INPUT DROP这几句都是相应链更改默认规则，就是在判别了所有的规则以后再判别的。
所以，逻辑是：所有的包在默认规则之前已经被判别，如果允许通过，就通过了，如果自定义的规则里面没有关于包的描述，那么转到默认规则，就是你说的drop了。
那么，最好是写个脚本。远程执行，要不然，咯嚓。。。跑路