iptables配置问题

Question

纯粹作为一个学术练习，试图简单地学习，我一直在玩iptables。到目前为止，我在这方面花了几天时间，我想我现在对这一切的运作方式有了很好的了解。我从只更改输入链上的设置开始，现在我可以接受/拒绝我所需要的几乎任何东西。例如ssh访问。

然后，我继续与输出链‘玩’，虽然我认为我知道我在做什么，我一定是遗漏了什么东西。以下是我想要做的事情(只是作为一次学习活动)。

阻止所有传入请求，阻止所有传出请求，然后逐一手动启用它们。我想我会用来测试它，但我无法让它正常工作。

我使用webmin来配置iptable，但是我也很高兴使用shell。

输入链:默认为阻止。为新的和已建立的连接启用TCP到目标端口80。为新的和已建立的连接启用TCP到目的端口53。

输出链:默认为阻止。从源端口80为新连接启用TCP。从源端口53为新连接启用TCP。

我认为这样，我可以浏览互联网(不是HTTPS，我知道)，只要我启动连接。

正如我所说的，我只是想了解一些关于iptables和网络流量的总体情况。

任何关于我做错了什么的建议都是值得欢迎的。

P.S.我是个窗户转换器..。温柔点！

Answer 1

首先，IMO，您不应该将默认策略设置为“放弃”或“拒绝”。这是因为如果你冲洗iptables，你就会被锁在外面(不是因为我曾经把自己锁在门外)。

第二，海事组织，你应该使用拒绝而不是放弃。下降并不是或多或少的安全然后拒绝，不以任何方式“隐藏”您的ip通过"sealth"，它只是简单地减慢合法的流量。黑客可以告诉你的ip存在，因为滞后，他们设置他们的工具，而不是忽视超时。请参阅http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject

第三，输出链只阻止来自主机的通信量(很抱歉，声明很明显)。

最后，你的规则的顺序很重要，所以如果你需要帮助，发布你的规则。

另见：http://bodhizazen.com/Tutorials/iptables