工作平台转 Linux,防火墙怎么弄(≧﹏ ≦)

2014-06-12 14:37:17 +08:00
 iButterfly
想默认不允许访问网络,特定程序加端口允许联网。
iptables好像是针对IP加端口而不是程序。
怎么弄?
3445 次点击
所在节点    问与答
12 条回复
kafkakevin
2014-06-12 15:05:33 +08:00
有一个叫 tcp wrapper的东西,不过只支持一部分程序
参考
http://linux.vbird.org/linux_server/0250simple_firewall.php#tcp_wrappers_program
initialdp
2014-06-12 15:13:11 +08:00
如果是ubuntu的话,用ufw,简单又方便。
tamamaxox
2014-06-12 15:15:22 +08:00
我觉得iptables真心适合你的需求,既然你都要用linux的话
xunyu
2014-06-12 15:36:46 +08:00
iptables足以
lang1pal
2014-06-12 15:40:13 +08:00
条件允许的话弄一个物理防火墙
ceyes
2014-06-12 16:00:56 +08:00
把默认的policy 都设成drop,然后开放几个端口即可。

这是我workstation 的 配 iptables 脚本,稍改一下就能满足你的需求吧。
https://gist.github.com/ceyes/a3686796ef5980a2cbe9#file-firewall-sh
rrfeng
2014-06-12 16:09:31 +08:00
lz 问的是限制出,iptables 还真没法区分应用 。
RainFlying
2014-06-12 16:10:01 +08:00
iptables -P OUTPUT DROP // 非常危险
iptables -m owner 不过 owner module 里非常有用的 ——-cmd-owner 选项已经没了。
wzxjohn
2014-06-12 16:14:27 +08:00
@RainFlying 你说的是6楼的脚本么?没看到这句啊。。。
RainFlying
2014-06-12 16:17:21 +08:00
@wzxjohn 6 楼脚本是设置默认策略然后开了一些端口。老版本的 iptables 有一个 owner 模块,可以用来匹配程序名,比如 --cmd-owner httpd 用来匹配 httpd .
rhwood
2014-06-12 16:22:02 +08:00
可以看一下csf,比iptables容易理解和操作。至于要限定程序有点难,可能得考虑曲线方式
iButterfly
2014-07-08 11:50:40 +08:00
看来Linux下没有太完美的解决方法- -

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/117114

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX