내 우분투 컴퓨터에서 iptables를 구성하려고 합니다. 내 규칙은 다음과 같습니다.
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:ftps-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftps
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
안타깝게도 웹 브라우저를 사용하려고 하면 연결되지 않습니다. 계속 로드하려고 하는 빈 페이지입니다. www.google.com에 핑을 보내려고 했지만 연결을 설정할 수 없습니다. 포트를 더 열어야 할까요?
[편집] 규칙을 변경했습니다. 새로운 규칙은 다음과 같습니다.
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state NEW,ESTABLISHED
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
이제 괜찮아! ! :) 충분히 안전하길 바랍니다. 이렇게 하면 내가 직접 만든 연결을 제외한 모든 트래픽이 차단될 것 같습니다.
답변1
관련된 연결을 허용하지 않습니다...빠른 해결 방법...:
#iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
추신: 급하게 글을 올려서 죄송합니다. 저는 직장에 있습니다. 자세한 내용을 가지고 돌아오겠습니다
답변2
페트리는 거의 해냈습니다.
기본적으로 설정에서 트래픽을 허용합니다.도착하다http/https/ftp 포트이지만 들어오는 트래픽을 허용하지 않습니다.~에서포트 - 쿼리가 발행되지만 응답은 삭제됩니다.
대부분의 최신 방화벽("1995년경" 이후로 정의됨)과 마찬가지로 Linux 방화벽은 연결을 추적하고 상태 기반 필터링을 허용합니다.
이 줄 의 목적 iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT은 모든 것을 포괄하는 것입니다. 즉, 방화벽 설정의 다른 규칙에서 시작을 허용하는 모든 트래픽은 사용자 측의 추가 명시적 규칙 없이도 진행되도록 허용됩니다.