该如何在iptables设置仅流入、流出代理的最小安全配置？

yangyihui · 发表于 2005-1-26 11:22:04

我的机器上网的代理是10.0.0.172:80，我该如何设置iptables，使得仅仅只让http能通过代理端口流入流出，而关闭其它全部端口，以做到最小化的安装配置。

我设置如下：
*filter
:INPUT ACCEPT [0]
:FORWARD ACCEPT [0]
:OUTPUT ACCEPT [0]
#-A INPUT -s ! 10.0.0.172/32 -p tcp -j DROP
#-A INPUT -p tcp --sport ! 80 -j DROP
#-A OUTPUT -d ! 10.0.0.172/32 -p tcp -j DROP
#-A OUTPUT -p tcp --dport ! 80 -j DROP
-A INPUT -s ! 10.0.0.172/32 -p udp -j DROP
-A OUTPUT -d ! 10.0.0.172/32 -p udp -j DROP
-A INPUT -s ! 10.0.0.172/32 -p icmp -j DROP
-A OUTPUT -d ! 10.0.0.172/32 -p icmp -j DROP
COMMIT

但是如果不注掉中间四行，在startx时，无法启动X。
估计是X的启动需要开启某些tcp端口，这个观点不知是否正确？

而由于注掉后，就不能有效防止其它端口和地址。

大家帮忙做个配置吧！先谢了。 :D

		自动登录	找回密码
密码			注册