使用iptables之后从服务器端用ssh总提示超时

mark168

我的目的是想只对外开放80 22端口,而且从服务器端也能SSH连接其它机器的SSH服务,以下是我的配置.

turtlejob:/backup# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT 0 -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:ssh
ACCEPT tcp -- anywhere anywhere tcp spt:www
ACCEPT 0 -- anywhere anywhere

高热

当你连接其他电脑的ssh服务时，你的ssh客户端使用的端口不是22，而是一个系统分配的随机端口，你只允许22端口的数据发出，自然就连不上了。如果你只想开放80 22端口，不应该把所有的数据包都drop掉，而应当仅drop掉tcp的syn包，这样才不会影响你自己访问网络。

mark168

我的ssh客户端用应该是22端口吧，如果是系统分配的随机端口就不太了解了。那怎么定这个规则，才能让我的安装有iptables的机器访问其它机器的SSH呢？

13251947

OUTPUT 里没必要做了
或者你把 iptables的原脚本贴出来