脑脊液:如何覆盖TCP_IN？

Question

我在基于Debian-8的服务器上使用csf v14.05。

在csf.conf中，我有以下内容：

TCP_IN = "53,80,110,119,143,443,465,587,953,993,995"

我想在csf.deny中选择性地覆盖它，仅针对特定的主机/端口组合，如下面的示例所示：

tcp|in|d=143|s=aaa.bbb.ccc.ddd # actual IP address dummied out

然而，来自aaa.bbb.ccc.ddd到端口443的请求仍然被允许。

我知道csf.allow规则覆盖了所有其他规则，因此，TCP_IN在csf.conf中的行为似乎也是一样的。

在csf中是否有任何方式允许对给定端口的开放访问，除了某些选定的IP地址，就像我在这里所做的那样？

非常感谢。

Answer 1

这是一个常见的混乱的根源。

TCP_IN允许列出的所有端口，而不管csf.allow ( csf.allow规则是拒绝规则除外)

因此，如果您真的想有选择地允许访问一个端口，您可以将其排除在TCP_IN of csf.conf .然后放在csf.allow里