वर्तमान में हम मूल रूप से OUTPUT डिफ़ॉल्ट नीति, ACCEPT का उपयोग कर रहे हैं।
यह OUTPUT के लिए पर्याप्त है क्योंकि Netfilter को राज्य कनेक्शन को ट्रैक करने के लिए विशेष नियमों की आवश्यकता नहीं है।
लेकिन अगर आप " डिफ़ॉल्ट इनकार " नीति के अनुसार इनबाउंड ट्रैफ़िक को फ़िल्टर करना चाहते हैं तो इसे स्विचिंग INPUT
-चैन के साथ किया जा सकता है DROP
:iptables -P INPUT DROP
बाद में यह सब सिर्फ 2 नियमों के साथ निर्धारित किया जाएगा :
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
लूपबैक इंटरफ़ेस पर इनपुट ट्रैफ़िक की अनुमति देने वाले नियम पर अपना ध्यान दें - जैसा कि मैंने अपने ब्लॉग में " एंड यूज़र के लिए मिनिमल फ़ायरवॉल " पोस्ट किया है , जब तक कि स्पष्ट रूप से अनुमति नहीं दी जाती है, लूपबैक ट्रैफ़िक को "स्थापित" स्टेट चेकिंग के द्वारा नहीं दिया जाएगा, वापसी की तुलना में ट्रैफिक ओवर, कहते हैं eth0
,।
यह सुनिश्चित करने के लिए कि यह न्यूनतम नियमों को लोड किया गया है " जैसा कि " w / o नियमों के साथ हस्तक्षेप है जो पहले से ही हो सकता है, यह iptables-restore
SHELL-सत्र का उपयोग करने के लिए सुविधाजनक है :
lptables-restore <<__EOF__
-P INPUT DROP
-A INPUT -j ACCEPT -i lo
-A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
__EOF__
ऐसा करने से पहले सुनिश्चित करें कि आप अपने स्वयं के नेटवर्किंग कनेक्शन 1 को नहीं काटेंगे , हालांकि पहले से ही खुले एसएसएच सत्रों को सामान्य रूप से काम करना जारी रखना चाहिए, नए खोलने के प्रयास काम नहीं करेंगे।
__
- बेशक आप इस तरह के कनेक्शन की अनुमति देने के लिए अन्य नियम जोड़ सकते हैं। यह बस के रूप में सरल हो सकता है
-A INPUT -j ACCEPT -p tcp --dport 22
- -m state
यहाँ के साथ टिंकर करने की कोई आवश्यकता नहीं है। इसे आज़माने lptables-restore
से iptables-restore
पहले ठीक करना न भूलें ;)