고쳐 쓰다

Question

내 생각엔 당신의 규칙이 잘못된 순서인 것 같아요. iptables에서는-A 추가체인 앞에 삽입하는 대신 체인에 장착하십시오. 일반적으로 당신은 ...

iptables -A INPUT  -p tcp -m state --state ESTABLISHED     -j ACCEPT

그런 다음

# Drop any tcp packet that does not start a connection with a syn flag.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

순서를 변경하는 대신 Rewrite it을 사용하여 -I INPUT 1각 규칙이 이전 규칙 앞에, 즉 맨 위에 삽입되도록 할 수 있습니다. 하지만 이 경우 tail ping/icmp 규칙을 이동해야 합니다.

이제 질문으로 돌아갑니다.

iptables -N SSH_CHECK
iptables -N HTTP_CHECK

iptables -A INPUT -p tcp --dport 22 -j SSH_CHECK
iptables -A INPUT -p tcp --dport 80 -j HTTP_CHECK
iptables -A INPUT -p tcp --dport 443 -j HTTP_CHECK

iptables -A SSH_CHECK -s x.x.x.x -j ACCEPT -m comment --comment "allow joe to ssh from his IP"
iptables -A HTTP_CHECK -s y.y.y.y -j ACCEPT -m comment --comment "allow mary to visit my HTTP/S server"

기본 삭제 정책은 정규화되지 않은 IP를 처리합니다.

Answer 1

내 생각엔 당신의 규칙이 잘못된 순서인 것 같아요. iptables에서는-A 추가체인 앞에 삽입하는 대신 체인에 장착하십시오. 일반적으로 당신은 ...

iptables -A INPUT  -p tcp -m state --state ESTABLISHED     -j ACCEPT

그런 다음

# Drop any tcp packet that does not start a connection with a syn flag.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

순서를 변경하는 대신 Rewrite it을 사용하여 -I INPUT 1각 규칙이 이전 규칙 앞에, 즉 맨 위에 삽입되도록 할 수 있습니다. 하지만 이 경우 tail ping/icmp 규칙을 이동해야 합니다.

이제 질문으로 돌아갑니다.

iptables -N SSH_CHECK
iptables -N HTTP_CHECK

iptables -A INPUT -p tcp --dport 22 -j SSH_CHECK
iptables -A INPUT -p tcp --dport 80 -j HTTP_CHECK
iptables -A INPUT -p tcp --dport 443 -j HTTP_CHECK

iptables -A SSH_CHECK -s x.x.x.x -j ACCEPT -m comment --comment "allow joe to ssh from his IP"
iptables -A HTTP_CHECK -s y.y.y.y -j ACCEPT -m comment --comment "allow mary to visit my HTTP/S server"

기본 삭제 정책은 정규화되지 않은 IP를 처리합니다.

고쳐 쓰다

고쳐 쓰다

답변1

관련 정보