Przez lata walczyłem o dobre zrozumienie iptables. Za każdym razem, gdy próbuję czytać strony podręcznika, moje oczy zaczynają się płonąć.
Mam usługę, do której chcę jedynie zezwolić lokalnemu hostowi na dostęp.
Jakie warunki (lub konfigurację, jeśli ktoś czuje się hojny) powinienem wezwać Google, aby zezwolić tylko hostowi localhost na dostęp do danego portu?
Odpowiedzi:
Jeśli przez usługę rozumiesz konkretny port, powinny działać następujące dwie linie. Zmień „25” na dowolny port, który próbujesz ograniczyć.
źródło
-A
z-D
Poleciłbym:
Ponieważ pakiety zaadresowane niekoniecznie mają źródło 127.0.0.1, ale wszystkie „wchodzą” z
lo
interfejsu.Teraz, jeśli naprawdę chcesz zrozumieć,
iptables
pierwszą rzeczą, którą powinieneś zrobić, to pobrać i wydrukować dobre diagramy wyjaśniające relacje międzynetfilter
tabelami. Oto dwa świetne:Na koniec przeczytaj dużo
iptables
HOWTO. Praktyczne przykłady pomogłyby Ci naprawdę szybko uzyskać szybkość :)źródło
lo
pojawia się dla mnie po użyciu tych poleceń z ostatnim poleceniem z tego linku cyberciti.biz/faq/howto-display-linux-iptables-loaded-rulesiptables -L -v -n --line-numbers
iptables-save
, zapisuję dane wyjściowe w pliku,vim
emacs
iptables-apply
unbound
jako pamięć podręczna DNS przeddnscrypt-proxy
.unbound
wiąże się127.0.53.1:53
idnscrypt-proxy
wiąże się z127.0.53.2:53
. Gdy aplikacja żąda niezwiązanego lub dnscrypt-proxy do rozpoznania nazwy FQDN, zgadnij, z którego adresu źródłowego odpowie niezwiązany / dnscrypt-proxy?