通过SSH连接linux,如何配置防火墙iptables?(一配就登不上去)
通过SSH连接linux,如何配置防火墙iptables?(一配就登不上去)。
看网上配置iptables命令,都是先设置DROP的预设规则,再添加允许访问的规则,但我是SSH远程连接服务器,我在配置时时,就连上不系统了:
我是先添加了允许访问的规则,etc/sysconfig/iptables.save内容如下:
*filter
:INPUT ACCEPT [37:6326]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [204:27576]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
COMMIT
# Completed on Mon Jun 25 13:33:43 2012
上述配置启动防火墙后,试访问不在允许列表中的服务端口,仍然可以访问,于是输入以下命令:
[root@tp ~]# iptables -p INPUT DROP
[root@tp ~]# iptables -p OUTPUT ACCEPT
[root@tp ~]# iptables -p FORWARD DROP
结果第二行命令打完回车,连接就断了,再也连不上了,只好打电话给托管方机房关闭防火墙,请问我该如何设置?
[解决办法]
你的默认规则是允许的,所以你访问不再列表中的端口,仍然可以访问。
你添加规则时,要明确指明你要禁止的端口
[解决办法]
iptables -p INPUT DROP
iptables -p OUTPUT ACCEPT
iptables -p FORWARD DROP
这三条意思是 进入本机的任何包都丢弃。。。从本机出去的包都接受。。经过本机的包 都丢弃。。。你连着ssh第一条就不行了。。