이것이 내가 가지고 있는 것입니다: iptables -i em1 -A INPUT -j ACCEPT -p tcp --dport 9001 -v. 이 주소(127.0.0.1 또는 네트워크 192.168.1.143)의 포트 9001에서 들어오는 연결을 수락하려는 경우, 제가 뭘 잘못하고 있습니까?
답변1
주문이 잘 된 것 같아요. 인수의 순서가 다소 정통적이지는 않지만 작동할 것입니다.
문제는 iptables규칙이 입력된 순서대로 적용된다는 점입니다. 일치하는 차단 규칙을 입력한 후 허용 규칙을 입력하면 패킷이 이미 차단 규칙과 일치하므로 허용 규칙이 사용되지 않습니다.
이를 설정할 때 일반적인 방법 iptables은 모든 규칙을 새로 고치고 정책을 설정한 다음 허용할 모든 항목을 입력하고 확장검색 규칙을 사용하여 다른 모든 항목을 거부하는 것입니다. 순서가 잘못되어 이전에 설정한 규칙으로 인해 모든 것을 거부하고 있는 것 같습니다. 이제 허용을 추가해 보세요.
답변2
이것이 유일한 규칙이라면 극도로 폐쇄적인 태도를 취해야 합니다. 데이터가 허용되는 IP 주소를 제한할 수 있습니다. 체인은 일반적으로 RELATED 및 ESTABLISHED 연결을 허용하는 규칙을 사용하여 시작됩니다.
현재 수행 중인 작업이 확실하지 않은 경우 도구를 사용하여 방화벽을 구축할 수 있습니다. 나는 사용한다부두 벽이것은 잘 문서화되어 있습니다. 차단된 트래픽을 볼 수 있도록 로깅 규칙을 생성합니다. (공통 프로브 포트(예: Windows 공유)는 기본 구성에 문서화되어 있지 않습니다.) 문서에는 1, 2, 3 인터페이스 구성의 샘플 세트가 포함되어 있습니다. 방화벽 구성 및 연결을 쉽게 볼 수 있는 명령도 있습니다.