iptables如何实现“先拒绝所有的数据包，再允许需要的数据包”？

diyself

iptables如何实现“先拒绝所有的数据包，再允许需要的数据包”？

例如实现本机上网的代码：

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

/sbin/iptables  -A INPUT -  i lo   -j ACCEPT  
/sbin/iptables  -A OUTPUT  -  i lo  -j ACCEPT
/sbin/iptables -A FORWARD －p tcp -s 0/0  －d any/0 --dport 80 -j ACCEPT


为什么不行？
希望高手说说其中缘由！谢谢

Yuri

你是怎么知道不行的?

amd.ronin

这样可以啊!

xw_xiao

iptables不是很熟悉。
不过楼主说的这个规则有些难解。

应该先允许指定的数据流，其他所有均不允许吧。

如果是本机上网，不应该对forward做规则，要对output做。

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

/sbin/iptables -A INPUT - i lo -j ACCEPT
/sbin/iptables -A OUTPUT －p tcp -s 0/0 －d any/0 --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD - i lo -j ACCEPT


补充一点，forward是用于接口之间转发数据用的。