[问题求助]如何利用iptables封闭端口－－－－－急！ [复制链接]

我现在想封闭除20，21.，80以外的所有端口，请问利用iptables如.何实现。谢谢！           建材

思路就是清空所有,开这几个端口
/sbin/iptables -P INPUT DROP
#/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
  
#允许www
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#允许ssh
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#允许ftp
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#允许mysql
/sbin/iptables -A INPUT -p tcp --dport 3306 -j ACCEPT

iptables -A FORWARD -m mport ??? 21:23,80 -j DROP

忘记具体咋写了

--------先阻止所有的包通过----------
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
---------开启20，21，80喘口---------
iptables -A INPUT  -m multiport -p tcp --dport 20，21，80 -j ACCEPT
iptables -A OUTPUT -m multiport -p tcp --dport 20，21，80 -j ACCEPT
iptables -A FORWARD -m multiport -p tcp --dport 20，21，80 -j ACCEPT

Output表全部drop了，还开放那些端口有什么用呢？

先用
iptables -F
在
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P ACCEPT
然后
iptables -A INPUT -p tcp -i eth0 --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
就OK了最好也打开22端口方便ssh远程管理
防止攻击的策略就不多说了呵呵~~

不用开 TCP/20 ，加个 ip_conntrack_ftp 就可以了