[问题求助]iptables如何实现“先拒绝所有的数据包，再允许需要的数据包” [复制链接]

i.ptables如何实现“先拒绝所有的数据包，.再允许需要的数据包”？             汽车

例如实现本机上网的代码：

/sbin/iptables -P INPUT. DR.OP(广告)
/sbin/iptables -..P OUTPUT DROP             汽车
/sbin./iptables -P FO.RWARD DROP.

/sbin/iptables  -A INPUT - . i lo   -j. ACCEPT  .
/sbin/iptab.les  -A OUTPUT  -  i lo . -j ACCEPT .
/sbin/ip.tables -A FORWARD －p tcp -s 0/0  －d any/0 --d.port 80 -j ACCEPT           女人


为什么不行？
希望高手说说其中缘由！谢谢

QUOTE:原帖由 diyself 于 2006-7-19 10:05 发表
iptables如何实现“先拒绝所有的数据包，再允许需要的数据包”？

逻辑上就行不通

请问，如何实现“先枪毙所有的犯人，再把刑期少的放出来”？

<<iptables-1.1.9指南>>中的例子都是  

先
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

的

那又是为什么？

请看《《基于Linux系统的包过滤防火墙》》
http://www.cpcwedu.com/Document/firewall/085551238.htm

以下的片段摘自上面的文章：

(2)设置链的默认策略。一般地，配置链的默认策略有两种方法。

1）        首先允许所有的包，然后再禁止有危险的包通过防火墙。即“没有被拒绝的都允许”。这种方法对于用户而言比较灵活方便，但对系统而言，容易引起严重的安全问题。

为此，应该使用如下的初始化命令：

#iptables -P INPUT ACCEPT

#iptables -P OUTPUT ACCEPT

#iptables -P FORWARD ACCEPT

2）        首先禁止所有的包，然后再根据需要的服务允许特定的包通过防火墙。即“没有明确允许的都被拒绝”。这种方法最安全，但不太方便。为了使得系统有足够的安全性，一般采用此种策略进行iptables防火墙的配置。

为此，应该使用如下的初始化命令：

#iptables -P INPUT DROP

#iptables -P OUTPUT DROP

#iptables -P FORWAED DROP

噢，发现一个问题：标题是拒绝，上面文章是禁止；如果用拒绝是错误的，我对不起大家了！

哦，谢谢

service iptables stop
modprobe ip_conntrack_ftp
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

iptables -P INPUT DROP不能放在前面？放在前面不能实现吗？<<iptables-1.1.9指南>>中的例子都是先放在前面。。。疑惑。。。

看来得去慢慢看罗，哈，不仅仅要“型似”而且要“神似”！