Re: [問答] mailserver iptable

看板Network作者fashionjack (神奇傑克)時間8年前 (2017/05/20 09:37)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串2/2 (看更多)

※ 引述《gmotwm2001 (小馬怪)》之銘言： : 各位大大您好: : 想請問我用iptables -I INPUT -s 140.11x.116.11x -p tcp --dport ssh -j REJECT : 然後用桌機(ip) 140.11x.166.11x putty 選ssh登入連線，應該是要登不進去 : 但是還是可以連線，想請問為甚麼呢? 我也把rule放在第一位 : (但它的前面還是有: INPUT ACCEPT)[0:0] : 用hosts.deny 設定ip就可以連不上但iptable 就不行.. : 謝謝 #!/bin/sh PATH=/sbin:/usr/sbin:/bin:/usr/bin #此處請自行修改 EXT_IF=eth1 #EXT_IF=ppp0 INT_IF=eth0 # ------------- policies ------------- echo "Setting up policies to ACCEPT..." iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT echo "Release special address" # 這是打開讓自己可以方便連結，也就是該外部IP不設防 iptables -A INPUT -p all -s 12x.15x.17x.28/255.255.255.255 -j ACCEPT #封鎖某各別IP iptables -A INPUT -p all -s 17x.23x.84.x/255.255.255.0 -j DROP echo "Release service" # 允許相關連結服務其餘未開者則全部關閉。 # iptables -A INPUT -i eth1 -p tcp --dport 25 -j ACCEPT # iptables -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT #DNS # iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT #DNS iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT #Web iptables -A INPUT -i eth1 -p tcp --dport 113 -j ACCEPT iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP iptables -A INPUT -i eth1 -j DROP #port 22...等只開給自己(INPUT -p all)，其它port對外僅開放允許的，未允許的全關，這樣才安全。 #以上僅針對外網。 -- ＼︿_︿／︿_（＠,＠）_︿ / ／／ ( """ ）＼＼\ （／(/(/＼／ \)\)＼） -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.198.5 ※ 文章網址: https://www.ptt.cc/bbs/Network/M.1495244239.A.B86.html ※ 編輯: fashionjack (122.116.198.5), 05/20/2017 09:56:51