下面是我設定 iptables 的一些簡單規則,可以參考一下。(與 NAT 無關喔)
# 掛入相關 module
modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_conntrack_irc |
iptables -F iptables -X iptables -F -t nat iptables -X -t mangle |
iptables -P FORWARD DROP |
iptables -A INPUT -p all -s ip_net/netmask -j ACCEPT |
iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 23 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 113 -j ACCEPT iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP |
被外面所聯機。
port 20、21 : ftp 使用的。
port 22 : ssh 聯機
port 23 : telnet 聯機。方便使用,其實不開放比較安全。
port 25 : sendmail 使用。讓信件可以寄進來。
port 53 : dns 使用。dns 需要打開 udp 使用。
port 110 : pop3 使用
port 113 : auth 身份確認。我打開是讓一些使用該 113 確認身份的主機
不至于反查時會卡住很久。
最后一行是對于主動聯機或者是不合法聯機,一律通通拒絕掉。
這個 script 內容,很適用只允許外面連結特定的 port 服務,剩下的其余
port 就拒絕外面主動建立的聯機。比方使用 Modem 撥接,只希望里面可以
正常聯機出去,外面都無法聯機進來這個需求。(ps: modem 是使用 ppp0
等這些接口,上面的 eth0 要改成 ppp0 )
