我有一个数据库,我只能通过一个xmlrpx脚本传递firewall.conf脚本来设置IPTables配置。但是,当我发送以下声明时,似乎在:INPUT DROP之后删除了我的连接,因此它不会运行-A INPUT -s [IP] -j ACCEPT。我怎样才能确保打开IP并关闭所有其他连接?
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -s [IP] -j ACCEPT
COMMIT
答案 0 :(得分:0)
iptables规则按顺序进行评估,因此您始终可以为ACCEPT设置INPUT默认策略,并删除或拒绝具有INPUT最后一条规则的其他数据包,例如:
*filter
:INPUT ACCEPT
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -s [IP] -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
COMMIT
在任何情况下,仅使用REJECT规则,您可能会对发生的事情(可能是介于两者之间的NAT?)而不仅仅是默默地丢弃(这在任何情况下建议的安全性)都有所了解。