当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 4 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : iptables的困惑
帖子发表于 : 2008-07-09 7:01 
头像

注册: 2006-02-28 3:11
帖子: 2470
送出感谢: 0 次
接收感谢: 0 次
在论坛里找的帖子, 安自己的需求写的iptables。由于我用无线上网, 所以下面是wlan0。
不过下面的东西加载后, 打开网页的速度明显变慢, 而且有时候显示无法链接,需要刷新几次才可以。 这是问什么呢?



代码:
#删除原来 iptables 里面已经有的规则
iptables -F
iptables -X

#抛弃所有不符合三种链规则的数据包
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#设置:本地进程 lo  的 INPUT 和 OUTPUT 链接 ; wlan0的 INPUT链
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i wlan0 -m state --state NEW,INVALID -j LOG
iptables -A OUTPUT -o lo -j ACCEPT

#对其他主要允许的端口的 OUTPUT设置:
# DNS
iptables -A OUTPUT -o wlan0 -p TCP --sport 1024:65535 --dport 53 -j ACCEPT
iptables -A OUTPUT -o wlan0 -p UDP --sport 1024:65535 --dport 53 -j ACCEPT

#HTTP
iptables -A OUTPUT -o wlan0 -p TCP --sport 1024:65535 --dport 80 -j ACCEPT

#HTTPS
iptables -A OUTPUT -o wlan0 -p TCP --sport 1024:65535 --dport 443 -j ACCEPT
 
#Email 接受 和发送 
iptables -A OUTPUT -o wlan0 -p TCP --sport 1024:65535 --dport 110 -j ACCEPT
iptables -A OUTPUT -o wlan0 -p TCP --sport 1024:65535 --dport 25 -j ACCEPT

#DHCP
iptables -A OUTPUT -o wlan0 -p TCP --sport 1024:65535 --dport 68 -j ACCEPT
iptables -A OUTPUT -o wlan0 -p UDP --sport 1024:65535 --dport 68 -j ACCEPT
 
iptables -A INPUT -i wlan0 -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -i wlan0 -p udp -j REJECT --reject-with icmp-port-unreachable


_________________
一梦三年,
松风依旧,
萝月何曾老.


灵幽听微, 谁观玉颜?
灼灼春华, 绿叶含丹.


页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2008-07-09 9:03 
头像

注册: 2007-10-29 22:12
帖子: 5353
地址: 江苏南京
系统: OSX 10.9 + Ub 1304
送出感谢: 0 次
接收感谢: 5
其实个人机上,只要有input规则就可以了,而且仅仅是-j accept就行了,过于复杂的规则会影响使用的。


_________________
佛经说,人有八苦: 生、老、病、死、求不得、怨憎、爱别离、五阴盛 故我苦!
圣经说,人有七罪: 饕餮、贪婪、懒惰、淫欲、傲慢、嫉妒和暴怒  故我有罪!

我这篇帖子里面没有任何攻击我们伟大的中华人民共和国政府和任劳任怨的人民公仆(和本论坛高素质的版主)的文字和含义;

特此声明!

有些事,我们明知道是错的,也要去坚持,因为不甘心;有些人,我们明知道是爱的,也要去放弃,因为没结局;有时候,我们明知道没路了,却还在前行,因为习惯了。

欢迎来我的新浪微博@me


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2008-07-09 21:26 
头像

注册: 2006-02-28 3:11
帖子: 2470
送出感谢: 0 次
接收感谢: 0 次
速度慢倒是可以理解, 可是打不开网页就说不过去了


_________________
一梦三年,
松风依旧,
萝月何曾老.


灵幽听微, 谁观玉颜?
灼灼春华, 绿叶含丹.


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2008-07-09 21:52 
头像

注册: 2007-05-06 2:46
帖子: 15634
送出感谢: 0 次
接收感谢: 2
代码:
sudo ufw enable
sudo ufw default deny


或者

代码:
sudo iptables -t nat -P PREROUTING DROP


就够用了,也方便


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 4 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译