debian中的iptables规则建议

Question

请提出以下建议：

我添加下一个iptables规则：

iptables -I OUTPUT 2 -p udp --dport 53 -j ACCEPT
iptables -I OUTPUT 2 -p udp --dport 1700:1750 -j ACCEPT
iptables -I OUTPUT 3 -p udp -m udp --dport 1812 -j ACCEPT
iptables -I OUTPUT 5 -p udp -m udp --dport 1813 -j ACCEPT
iptables -I OUTPUT 5 -p udp -m udp --dport 5950:6050 -j ACCEPT
iptables -I OUTPUT 5 -p udp -m udp --dport 499:510 -j ACCEPT
iptables -I OUTPUT 5 -p udp -m udp --dport 4490:4550 -j ACCEPT
iptables -I OUTPUT 20 -p udp -j DROP

但是，应用后: ipsec、l2tp和openvp端口6000停止工作。

建议，怎么了？

以下是我的udp服务：

udp        0      0 0.0.0.0:500             0.0.0.0:*                           3115/charon     
udp        0      0 0.0.0.0:1701            0.0.0.0:*                           2885/xl2tpd     
udp        0      0 162.243.256.150:6000    0.0.0.0:*                           2818/openvpn    
udp        0      0 0.0.0.0:4500            0.0.0.0:*                           3115/charon     
udp6       0      0 :::500                  :::*                                3115/charon     
udp6       0      0 :::4500                 :::* 

                           3115/charon

Answer 1

您使用的是输出链，而不是输入链，所以当您放置dport时，这是输出的目的端口，这意味着远程端口，而不是运行iptables和服务的机器上的端口。

您应该将链更改为输入，在这种情况下，dport将是您想要的，即服务器上的端口。

编辑:除了添加这些规则之外，您可能还必须在输出链中创建相应的规则，这次使用一个-sport。

Answer 2

省去很多麻烦，看看岸壁。它使配置和管理变得更加简单。