CentOS加iptables的問題

diskdupekimo 2011-08-03 16:16:20 ‧ 4777 瀏覽

分享至

請問各位Linux的高手....
此電腦有二塊網路卡
eth0 10.10.0.XX
eth1 60.249.84.XX

我新增了一個firewall.sh和firewall-open.sh

執行後firewall.sh會變成這台電腦無法上網 ping 168.95.1.1 會time out..且yum安裝軟體也會失敗..
當我再執行firewall-open.sh之後就可以正常連線了
現在我希望除了eth1的25 110 53 port(不限IP)及一些我信任的IP(不限PORT)開啟外其餘的INPUT預設是DROP..
請問要再加什麼指令才能讓我的這台電腦防火牆是開啟的且可以上網呢?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

a115073

iT邦研究生 2 級 ‧ 2011-08-04 14:59:15

最佳解答

iptables -A INPUT -i eth1 -m state --state RELATED,WSTABLISHED -j ACCEPT

↑若是由主機主動連出去的封包都能通過

回應
分享
檢舉

登入發表回應

jackwan

iT邦研究生 4 級 ‧ 2011-08-03 17:34:32

#那些服務需開啟請自行修改
#!/bin/sh
INT_IF=eth0 #內網
EXT_IF=eth1 #外網
echo "Cleaning up..."
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
echo "Setting up policies to ACCEPT..."
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

允許相關連結服務

iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 8080 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 3000 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 3900 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 110 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
iptables -A INPUT -i eth1 -j DROP