在Ubuntu系统中,使用iptables设置默认策略可以帮助你控制网络流量的行为。以下是一些常见的默认策略设置步骤:
如果你希望所有未经明确允许的流量都被丢弃,可以设置默认策略为DROP。
# 设置INPUT链的默认策略为DROP
sudo iptables -P INPUT DROP
# 设置OUTPUT链的默认策略为DROP
sudo iptables -P OUTPUT DROP
# 设置FORWARD链的默认策略为DROP
sudo iptables -P FORWARD DROP
本地回环接口(lo)通常用于本地通信,应该允许其流量。
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
允许已建立的连接和相关的数据包通过。
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
如果你需要通过SSH远程访问服务器,允许SSH连接。
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
如果你需要通过HTTP和HTTPS访问服务器,允许这些连接。
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
允许DNS查询。
sudo iptables -A INPUT -p udp --dport 53 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT
如果你需要允许ping请求,可以添加以下规则。
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
在Ubuntu中,iptables规则默认不会持久化保存。你可以使用iptables-persistent包来保存规则。
sudo apt-get update
sudo apt-get install iptables-persistent
在安装过程中,系统会提示你是否保存当前的iptables规则。选择“是”即可。
你可以使用以下命令查看当前的iptables规则。
sudo iptables -L -v -n
通过以上步骤,你可以设置Ubuntu系统的iptables默认策略,并根据需要进行相应的调整。