这是一个创建于 4168 天前的主题,其中的信息可能已经有所发展或是发生改变。
想默认不允许访问网络,特定程序加端口允许联网。
iptables好像是针对IP加端口而不是程序。
怎么弄?
iptables好像是针对IP加端口而不是程序。
怎么弄?
 | 1 kafkakevin 2014-06-12 15:05:33 +08:00 有一个叫 tcp wrapper的东西,不过只支持一部分程序 参考 http://linux.vbird.org/linux_server/0250simple_firewall.php#tcp_wrappers_program |
 | 2 initialdp 2014-06-12 15:13:11 +08:00  1 如果是ubuntu的话,用ufw,简单又方便。 |
 | 3 tamamaxox 2014-06-12 15:15:22 +08:00 我觉得iptables真心适合你的需求,既然你都要用linux的话 |
 | 4 xunyu 2014-06-12 15:36:46 +08:00 iptables足以 |
 | 5 lang1pal 2014-06-12 15:40:13 +08:00 条件允许的话弄一个物理防火墙 |
 | 6 ceyes 2014-06-12 16:00:56 +08:00 把默认的policy 都设成drop,然后开放几个端口即可。 这是我workstation 的 配 iptables 脚本,稍改一下就能满足你的需求吧。 https://gist.github.com/ceyes/a3686796ef5980a2cbe9#file-firewall-sh |
 | 7 rrfeng 2014-06-12 16:09:31 +08:00 lz 问的是限制出,iptables 还真没法区分应用 。 |
 | 8 RainFlying 2014-06-12 16:10:01 +08:00 iptables -P OUTPUT DROP // 非常危险 iptables -m owner 不过 owner module 里非常有用的 -cmd-owner 选项已经没了。 |
 | 9 wzxjohn 2014-06-12 16:14:27 +08:00 @RainFlying 你说的是6楼的脚本么?没看到这句啊。。。 |
| 10 RainFlying 2014-06-12 16:17:21 +08:00 @wzxjohn 6 楼脚本是设置默认策略然后开了一些端口。老版本的 iptables 有一个 owner 模块,可以用来匹配程序名,比如 --cmd-owner httpd 用来匹配 httpd . |
 | 11 rhwood 2014-06-12 16:22:02 +08:00 可以看一下csf,比iptables容易理解和操作。至于要限定程序有点难,可能得考虑曲线方式 |
 | 12 iButterfly OP 看来Linux下没有太完美的解决方法- - |
Select Language