IPTables के साथ 80,443 को छोड़कर सभी पोर्ट कैसे ब्लॉक करें? [डुप्लिकेट]

सभी बंदरगाहों (और बाहर) को ब्लॉक करना आसान है लेकिन यह "को छोड़कर" शब्द के साथ कठिन है। मैं किसी भी नियम को नहीं जानता जो शर्त को पूरा करता है।

पुनश्च: मुझे पता है कि यह सवाल कोई नई बात नहीं है। लेकिन वास्तव में, मुझे कुछ भी मदद नहीं मिली। तो, मेरी मदद करो pls!

पहले ! प्रतीक नहीं है।

iptables -A INPUT -p tcp -m tcp -m multiport ! --dports 80,443 -j DROP

दूसरा, आपके द्वारा लिखे गए नियमों के अपेक्षित परिणाम नहीं हो सकते हैं। आप पोर्ट 80 पर कनेक्शन की प्रतिक्रिया सहित सब कुछ छोड़ देते हैं। इसलिए, आप एक वेब सर्वर के प्रयोजनों के लिए यह कहते हुए कनेक्ट नहीं कर पाएंगे।

ये नियम संबंधित और स्थापित कनेक्शन की अनुमति देते हैं, इसलिए एक वेब सर्वर को कार्य करना चाहिए, यदि वह वास्तव में आपका क्या करने की कोशिश कर रहा है।

iptables -A INPUT -p tcp -m tcp -m multiport --dports 80,443 -j ACCEPT
<insert further allowed list here>
iptables -A INPUT -m conntrack -j ACCEPT  --ctstate RELATED,ESTABLISHED
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j DROP

# Set the default policy of the INPUT chain to DROP
iptables -P INPUT DROP

# Accept incomming TCP connections from eth0 on port 80 and 443
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT

यह आपको वह चाहिए जो आपको चाहिए

आप अपनी डिफ़ॉल्ट कार्रवाई को DROP पर सेट कर सकते हैं, और फिर 80 और 443 की अनुमति देने के लिए अपवाद नियम बना सकते हैं, जैसे:

# Setting default policies:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Exceptions to default policy
iptables -A INPUT -p tcp --dport 80 -j ACCEPT       # HTTP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT      # HTTPS

iptables 'अपवादों' की सूची से तब तक गुज़रेगा जब तक कि यह एक मैच नहीं हो जाता। यह तब -jपैरामीटर द्वारा निर्दिष्ट कार्रवाई करेगा (इस मामले में ACCEPT)। यदि इसे कोई मिलान नहीं मिला, तो यह डिफ़ॉल्ट नीति पर वापस आ जाएगा और पैकेट को छोड़ देगा।

ध्यान दें कि इस वर्कअराउंड के साथ कोई भी उप-डोमेन लॉक हो जाएगा। इस पद्धति के उदाहरण के लिए, आपके पास www.mydomain.com पर काम करना सही होगा, लेकिन आपका उप डोमेन कहता है कि www.sub.mydomain.com DNS त्रुटियों के लिए नहीं खुलेगा।