ubuntu iptables如何阻止所有连接 - 问答

在Ubuntu系统中，使用iptables来阻止所有连接可以通过设置默认策略为DROP来实现。以下是具体步骤：

方法一：临时阻止所有连接

备份当前的iptables规则（可选但推荐）：
```
sudo iptables-save > /etc/iptables/rules.v4.backup
```

设置默认策略为DROP：

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP

允许必要的连接：

允许本地回环接口的流量：

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

允许已经建立的连接和相关的数据包：

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

允许SSH连接（假设SSH端口是22）：

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

保存规则（临时生效，重启后失效）：
```
sudo iptables-save > /etc/iptables/rules.v4
```

方法二：永久阻止所有连接

安装iptables-persistent（如果尚未安装）：

sudo apt update
sudo apt install iptables-persistent

设置默认策略为DROP：

sudo netfilter-persistent save
sudo netfilter-persistent reload

允许必要的连接：

允许本地回环接口的流量：

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

允许已经建立的连接和相关的数据包：

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

允许SSH连接（假设SSH端口是22）：

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

保存规则（永久生效）：

sudo netfilter-persistent save
sudo netfilter-persistent reload

注意事项

在执行这些操作之前，请确保你有其他方式可以访问服务器，例如通过物理访问或使用控制台。
阻止所有连接可能会导致你无法远程访问服务器，因此请谨慎操作。
如果你需要重新启用网络连接，可以删除或修改相应的iptables规则。

通过以上步骤，你可以有效地阻止所有连接到你的Ubuntu系统。

0 赞

0 踩