iptables规则允许所有出站本地流量？

我想知道是否有人可以通过以下iptables规则来帮助我：

我们希望允许ANY和ALL本地发起（例如，在运行iptables的服务器上）流量。

DNS，HTTP等...全部。应该允许由运行iptables的服务器启动的任何连接。

当前，我们基本上使用OUTPUT默认策略ACCEPT。这个对吗？输入被阻止，所以我认为这意味着无法启动连接（我们允许的连接除外），因为在我们这边执行OUTPUT策略之前，它们将被断开？

抱歉，我的iptables技能很弱;）

非常感谢你。

您需要两个规则来做到这一点：

iptables -I OUTPUT -o eth0 -d 0.0.0.0/0 -j ACCEPT
iptables -I INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

一些注意事项。

• 您可能已有的预先存在的规则可能已经执行了此操作，但是看起来有所不同。
• 这用于-I强制将这些规则放在第一位。iptables规则是自上而下评估的。
• 在-o和-i分别为“中”标志的意思是“去”和。替换eth0为正确的以太网接口名称。

当前，我们基本上使用OUTPUT默认策略ACCEPT。

这对于OUTPUT就足够了，因为Netfilter不需要特殊的规则即可开始有状态连接跟踪。

但是，如果您想根据“ 默认拒绝 ”策略过滤出入站流量，可以通过将INPUT-chain 切换为DROP：iptables -P INPUT DROP

之后，将仅用2条规则进行设置：

iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED

请注意规则允许回送接口上的输入流量 -正如我在博客文章“ 最终用户的最小防火墙 ”中指出的那样，除非明确允许，否则与“返回”相比，“建立的”状态检查将不会处理回送流量。交通过来，说，eth0。

为了保证这个最小规则集装“ 为是 ” W与已经可能是有规则/ O干扰，这是较方便的使用iptables-restore在SHELL会话：

lptables-restore <<__EOF__
-P INPUT DROP
-A INPUT -j ACCEPT -i lo
-A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
__EOF__

在执行此操作之前，请确保您不会断开自己的网络连接¹，尽管已经打开的SSH会话应继续正常工作，但是尝试打开新的SSH会话将不会起作用。

__

1. 当然，您可以添加其他规则以允许此类连接。它可以很简单-A INPUT -j ACCEPT -p tcp --dport 22-无需在-m state这里进行修改。也不要忘记修复lptables-restore回iptables-restore想出来之前;）