这是一个创建于 3802 天前的主题,其中的信息可能已经有所发展或是发生改变。
想默认不允许访问网络,特定程序加端口允许联网。
iptables好像是针对IP加端口而不是程序。
怎么弄?
iptables好像是针对IP加端口而不是程序。
怎么弄?
 |
1
kafkakevin 2014-06-12 15:05:33 +08:00
有一个叫 tcp wrapper的东西,不过只支持一部分程序
参考 http://linux.vbird.org/linux_server/0250simple_firewall.php#tcp_wrappers_program |
 |
2
initialdp 2014-06-12 15:13:11 +08:00  1
如果是ubuntu的话,用ufw,简单又方便。
|
 |
3
tamamaxox 2014-06-12 15:15:22 +08:00
我觉得iptables真心适合你的需求,既然你都要用linux的话
|
 |
4
xunyu 2014-06-12 15:36:46 +08:00
iptables足以
|
 |
5
lang1pal 2014-06-12 15:40:13 +08:00
条件允许的话弄一个物理防火墙
|
 |
6
ceyes 2014-06-12 16:00:56 +08:00
把默认的policy 都设成drop,然后开放几个端口即可。
这是我workstation 的 配 iptables 脚本,稍改一下就能满足你的需求吧。 https://gist.github.com/ceyes/a3686796ef5980a2cbe9#file-firewall-sh |
 |
7
rrfeng 2014-06-12 16:09:31 +08:00
lz 问的是限制出,iptables 还真没法区分应用 。
|
 |
8
RainFlying 2014-06-12 16:10:01 +08:00
iptables -P OUTPUT DROP // 非常危险
iptables -m owner 不过 owner module 里非常有用的 ——-cmd-owner 选项已经没了。 |
 |
9
wzxjohn 2014-06-12 16:14:27 +08:00
@RainFlying 你说的是6楼的脚本么?没看到这句啊。。。
|
|
10
RainFlying 2014-06-12 16:17:21 +08:00
@wzxjohn 6 楼脚本是设置默认策略然后开了一些端口。老版本的 iptables 有一个 owner 模块,可以用来匹配程序名,比如 --cmd-owner httpd 用来匹配 httpd .
|
 |
11
rhwood 2014-06-12 16:22:02 +08:00
可以看一下csf,比iptables容易理解和操作。至于要限定程序有点难,可能得考虑曲线方式
|
 |
12
iButterfly OP 看来Linux下没有太完美的解决方法- -
|
Select Language