之前服务器放在网宿托管机房，遇到过几次服务器中招向外发包的情况，网宿为了保证自己的业务会自动把外网断了，让你通过内网处理好服务器再开放。

很多人的思路是把服务器中毒的木马找出来，然后删除，再让网宿开通外网。

如果被网宿断的的业务是很重要的，越快恢复越好，你这样慢慢找木马病毒，一般情况也得花20分钟这样吧。你这样玩黄瓜菜都凉了！

比较好的处理方式是：先把主动向外发包的全部不让通过，向服务器请求的放过，保证业务正常运行！再慢慢找木马病毒

实验

外网:eth0 192.168.8.165

内网:eth1 192.168.3.165

iptables禁止服务器主动向外发包,但外面可以访问该服务器的任何资源

iptables -P INPUT ACCEPT

iptables -F

iptables -X

iptables -Z

iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -s 192.168.3.165 -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -m state --state NEW -j DROP

iptables -P OUTPUT DROP

iptables -n -L

或者：放行非第一个包，其它源地址为外网的禁止（意思就是外网状态为NEW和INVALID的包不让通过）

iptables -n -L

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -F

iptables -X

iptables -Z

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -s 192.168.8.165 -p all -j DROP

iptables -n -L

#加多-v会看到更多的信息

#iptables -n -L -v

#只允许127.0.1和192.168.3.165

iptables -A OUTPUT -s 192.168.8.165  -j DROP

实验效果：

#在此服务器上通过内网telnet问外一台服务器，发现OK

telnet 192.168.3.75 3306

#在此服务器上通过外网telnet另一台服务器，相当于主动发包，发现失败。验证生效了

telnet 192.168.8.75 3306