工作平台转 Linux，防火墙怎么弄(≧﹏ ≦)

2014-06-12 14:37:17 +08:00

iButterfly

想默认不允许访问网络，特定程序加端口允许联网。
iptables好像是针对IP加端口而不是程序。
怎么弄？

3361 次点击

所在节点

12 条回复

kafkakevin

2014-06-12 15:05:33 +08:00

initialdp

2014-06-12 15:13:11 +08:00

如果是ubuntu的话，用ufw，简单又方便。

tamamaxox

2014-06-12 15:15:22 +08:00

我觉得iptables真心适合你的需求，既然你都要用linux的话

xunyu

2014-06-12 15:36:46 +08:00

iptables足以

lang1pal

2014-06-12 15:40:13 +08:00

条件允许的话弄一个物理防火墙

ceyes

2014-06-12 16:00:56 +08:00

把默认的policy 都设成drop，然后开放几个端口即可。

这是我workstation 的配 iptables 脚本，稍改一下就能满足你的需求吧。
https://gist.github.com/ceyes/a3686796ef5980a2cbe9#file-firewall-sh

rrfeng

2014-06-12 16:09:31 +08:00

lz 问的是限制出，iptables 还真没法区分应用。

RainFlying

2014-06-12 16:10:01 +08:00

iptables -P OUTPUT DROP // 非常危险
iptables -m owner 不过 owner module 里非常有用的 ——-cmd-owner 选项已经没了。

wzxjohn

2014-06-12 16:14:27 +08:00

@RainFlying 你说的是6楼的脚本么？没看到这句啊。。。

RainFlying

2014-06-12 16:17:21 +08:00

@wzxjohn 6 楼脚本是设置默认策略然后开了一些端口。老版本的 iptables 有一个 owner 模块，可以用来匹配程序名，比如 --cmd-owner httpd 用来匹配 httpd .

rhwood

2014-06-12 16:22:02 +08:00

可以看一下csf，比iptables容易理解和操作。至于要限定程序有点难，可能得考虑曲线方式

iButterfly

2014-07-08 11:50:40 +08:00

看来Linux下没有太完美的解决方法- -

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.