如何使用iptables阻止除80443外的所有端口？[重复]

阻塞所有端口（输入和输出）很容易，但是用“ except”一词很难。我不知道任何满足条件的规则。

PS：我知道这个问题并不新鲜。但实际上，我没有找到任何帮助。所以，请帮我！

首先！是NOT符号。

iptables -A INPUT -p tcp -m tcp -m multiport ! --dports 80,443 -j DROP

其次，您编写的规则可能没有预期的结果。您删除了所有内容，包括对端口80的连接的响应。因此，出于Web服务器的目的，您将无法连接到该端口。

这些规则允许进行RELATED和ESTABLISHED连接，因此Web服务器应该可以运行，如果实际上这是您要尝试的操作。

iptables -A INPUT -p tcp -m tcp -m multiport --dports 80,443 -j ACCEPT
<insert further allowed list here>
iptables -A INPUT -m conntrack -j ACCEPT  --ctstate RELATED,ESTABLISHED
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j DROP

# Set the default policy of the INPUT chain to DROP
iptables -P INPUT DROP

# Accept incomming TCP connections from eth0 on port 80 and 443
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT

这应该给你你所需要的

您可以将默认操作设置为DROP，然后创建允许80和443的异常规则，如下所示：

# Setting default policies:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Exceptions to default policy
iptables -A INPUT -p tcp --dport 80 -j ACCEPT       # HTTP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT      # HTTPS

iptables将遍历“例外”列表，直到找到匹配项。然后它将执行-j参数指定的操作（在这种情况下为ACCEPT）。如果找不到匹配项，它将退回到默认策略并丢弃数据包。

请注意，通过这种解决方法，所有子域都将被锁定。例如，使用此方法，您可以使其在www.mydomain.com上正常运行，但您的子域则说www.sub.mydomain.com不会因DNS错误而打开。