如何设置iptables禁止对外访问
- 列出所有的rules
$ sudo iptables -L
$ sudo iptables -L INPUT -n
$ sudo iptables -L OUTPUT -n --line-number
- 删除rule
针对第一步列出的所有rule,根据编号<num>注意删除
$ sudo iptables -D OUTPUT <num>
也可以根据rule的内容删除,即不使用变化
sudo iptables -D INPUT -p tcp --dport <port> -j DROP
- 打开特定目的地访问
允许用户<user>向<host>:<port>发出请求TCP类型包。
$ sudo iptables -A OUTPUT -p tcp -d <host> --dport <port> -m owner --uid-owner <user> -j ACCEPT
$ sudo iptables -A OUTPUT -p tcp --dport <port number> -j ACCEPT
-A是加在最后,如果需要加在指定位置则使用-I
$ sudo iptables -I FORWARD <n> -j ACCEPT
- 禁止特定目的地访问
禁止用户<user>向<host>的任何端口发出请求包
$ sudo iptables -A OUTPUT -d <host> -m owner --uid-owner <user> -j DROP
禁止所有向内特定端口的tcp访问
$ sudo iptables -A INPUT -p tcp --dport <port> -j DROP
禁止所有向外特定端口的tcp访问
$ sudo iptables -A OUTPUT -p tcp --dport <port number> -j DROP
- 修改整条chain的缺省rule
$ sudo iptables --policy INPUT DROP
网友评论