求教, iptables -A INPUT -p tcp -j DROP 这条导致 apt 不能使用
warcraft1236 · 2017-07-13 15:58:26 +08:00 · 3559 次点击这是一个创建于 2691 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题,这个不是控制外部访问系统端口的吗?为啥会影响 apt
 |
1
xia0pia0 2017-07-13 16:21:53 +08:00
这个会阻断所有外部进来的 TCP 流量了把。封端口用 iptables -A INPUT -p tcp/udp --port xx -j DROP
|
 |
2
mengyaoss77 2017-07-13 16:25:58 +08:00 via Android
你都没指定端口
|
 |
3
warcraft1236 OP @xia0pia0
我的规则保存下来文件是这样的 ``` # Generated by iptables-save v1.6.0 on Thu Jul 13 03:39:36 2017 *filter :INPUT ACCEPT [75:7987] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT -A INPUT -p tcp -m tcp --dport 27145 -j ACCEPT -A INPUT -p tcp -m tcp --dport 13588 -j ACCEPT -A INPUT -p tcp -m tcp --dport 13589 -j ACCEPT -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT -A INPUT -p tcp -m tcp --dport 1017 -j ACCEPT -A INPUT -p tcp -j DROP -A OUTPUT -j ACCEPT COMMIT # Completed on Thu Jul 13 03:39:36 2017 ``` 我想达到的就是,除了列出来的这些端口,不能从其他端口访问这个 vps,同时,vps 访问任意外网都不影响 |
|
4
warcraft1236 OP @mengyaoss77 指定了可以接受的端口,请看另一条回复
|
|
5
mengyaoss77 2017-07-13 16:31:24 +08:00
apt 作为本地应用 按道理端口似乎是随机的? 不太清楚, 你抓包试试看
|
 |
6
supermaxisme 2017-07-13 16:36:20 +08:00
1. 加一条这个,我相信就可以了。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 2. 没有看到 22..........,lz 自定义 ssh 端口了? |
 |
7
tywtyw2002 2017-07-13 16:38:10 +08:00 via iPhone
你 drop 掉了所有 output 方向 return 的数据,要加上一条规则 允许 established 的 tcp 数据包通过
|
|
8
warcraft1236 OP @zyzrichard 是的,vps 的 ssh 都是其他端口
|
 |
9
xss 2017-07-13 16:46:05 +08:00
今天 v 站是怎么了...
刚看到一个 mv xxx ../... 说找不到文件的... 现在有看到一个 drop 所有入站 tcp 流量, 说 apt 不能用的.......... |
 |
10
ipwx 2017-07-13 16:48:13 +08:00
|
 |
11
pubby 2017-07-13 17:19:26 +08:00 via Android  1
就好比通话的时候你把耳机摘了,然后说听不到对方说话 -_-
|
|
12
warcraft1236 OP @pubby 出站和入站的端口不是同一个啊,我以为是同一个
|
 |
13
yuzunzhi 2017-07-14 09:28:57 +08:00
如果想做白名单,只需要把 INPUT 的默认 POLICE 改成 DROP 就行了呀。然后白名单放行指定的流量
|
|
14
yuzunzhi 2017-07-14 09:32:48 +08:00
当然,-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 这条也是一定要有的,为啥要删这条。
|
|
15
warcraft1236 OP @yuzunzhi 之前不太理解这条是干啥的
|
Select Language