Answers:
因此,对于除一个接口以外的所有接口,您都希望接受所有流量,而在eth0上,您要丢弃除ftp和ssh之外的所有传入流量。
首先,我们可以设置默认情况下接受所有流量的策略。
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
然后,我们可以重置您的防火墙规则。
iptables -F
现在我们可以说我们想允许eth0上的传入流量,这是我们已经允许的连接的一部分。
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
另外,我们要允许eth0上的传入ssh连接。
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
但是,应该删除eth0上传入的任何其他内容。
iptables -A INPUT -i eth0 -j DROP
要获得更多的深度,请参阅此CentOS Wiki条目。
FTP比ssh棘手,因为它可以使用随机端口,因此请参阅前面的问题。
像这样的事情应该做的工作:
iptables -A INPUT -i eth1 -p all -j DROP
iptables -A INPUT -i eth0 -p all -j ACCEPT
ACCEPT其他所有接口上的过滤条件。
当您制定iptables规则时,这非常简单,然后您必须指定接口。指定iptables应该在其上工作的LAN卡的选项是-i
遵循规则可以给你一个很好的例子
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-reset
最后一条规则是拒绝与前两个规则不匹配的任何其他数据包。所有规则iptables均以给定顺序执行,因此拒绝数据包的规则始终是最后一条。