[问题求助]用iptables如何封端口？ [复制链接]

用ipta.bles如何封住以下端口：             电子
22  SSH Remote Login Pr..otocol              乙肝
25  Simp.le Mail Transfer.
1.10  Post Office Protocol - Versio.n 3.

初学iptables，献个丑：
iptables -A INPUT -p tcp --dport 22 -j DROP
复制代码

[quote]原帖由 "smilebbsxp"]其实iptable分三种情况，上面 零二年的夏天兄弟说的应该是一种情况，主要是，你在这台机器上做的限制是限制它本地的请求还是外面对它的请求，还有就是：它是否是一个转发的服务器，不同的话，就有input,output,forwa..........[/quote 发表：


限制外网对它的请求。
我的IPTABLES规则如下：
#!/bin/sh
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables -F -t filter
/sbin/iptables -F -t nat
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -A OUTPUT -j ACCEPT
/sbin/iptables -A FORWARD -j ACCEPT

# ALLOW ALL in PRIVATE NET
/sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -j ACCEPT

# NAT
/sbin/iptables -t nat -A POSTROUTING -s 172.1.0.0/24 -j SNAT --to-source 192.168.0.8

# SQUID
/sbin/iptables -A PREROUTING -t nat -p tcp -s 172.0.0.0/24 --dport 80 -j DNAT --to 172.0.0.1:3128
# External -->;Internal
#lj /sbin/iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
#lj /sbin/iptables -A FORWARD -p udp --dport 53 -j ACCEPT
#lj /sbin/iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
#lj /sbin/iptables -A FORWARD -p udp --dport 8000 -j ACCEPT
#lj /sbin/iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
#lj /sbin/iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
#lj /sbin/iptables -A FORWARD -p tcp --dport 4899 -j ACCEPT
#lj /sbin/iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A FORWARD -p icmp -j ACCEPT

#=============Services(external-->;internal)===============
#SSH
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#======================Deny others=========================
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -j DROP

# allow the third handshake
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# exchange the other packets' "SOURCE" and "TARGET", and SEND it !!!
/sbin/iptables -A INPUT -j MIRROR
#===========================================================

#Dos
iptables -t filter -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/minute --limit-burst 2 -j ACCEPT
iptables -t filter -A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable
#syn-flood protection
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#furtibe port scanner protection
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT


可是还是不行？

QUOTE:原帖由 "ljily000" 发表：
用iptables如何封住以下端口：
22  SSH Remote Login Protocol
25  Simple Mail Transfer
110  Post Office Protocol - Version 3


先drop 所有进入的   再开放你想让进入的

QUOTE:原帖由 "ljily000" 发表：


限制外网对它的请求。
我的IPTABLES规则如下：
#!/bin/sh
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/iptables -F -t filter
/sbin/iptables -F -t nat
/sbin/iptables -P INPUT D..........

/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
复制代码
上面这句 你已经开放了22端口了!

[quote]原帖由 "frankzh"]上面这句 你已经开放了22端口了![/quote 发表：




但是25 Simple Mail Transfer
      110 Post Office Protocol - Version 3

依然没封掉!

先开需要的端口
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
在关不需要的端口
/sbin/iptables -A INPUT -j DROP


可这样还是不行呀！

封本机的22、25、110
iptables -I INPUT -p tcp  --dport 22 -j DROP
iptables -I INPUT -p tcp  --dport 25 -j DROP
iptables -I INPUT -p tcp  --dport 110 -j DROP

封防火墙（Linux）后的22、25、110端口：
iptables -I FORWARD -p tcp --dport 22 -j DROP
iptables -I FORWARD -p tcp --dport 25 -j DROP
iptables -I FORWARD -p tcp --dport 110 -j DROP

要学好netfilter，首先要了解他的三表五链，这样再来学习iptables的使用就轻轻松松！