求教， iptables -A INPUT -p tcp -j DROP 这条导致 apt 不能使用

这个会阻断所有外部进来的 TCP 流量了把。封端口用 iptables -A INPUT -p tcp/udp --port xx -j DROP

你都没指定端口

@xia0pia0

我的规则保存下来文件是这样的

```
# Generated by iptables-save v1.6.0 on Thu Jul 13 03:39:36 2017
*filter
:INPUT ACCEPT [75:7987]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 27145 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 13588 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 13589 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1017 -j ACCEPT
-A INPUT -p tcp -j DROP
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Thu Jul 13 03:39:36 2017
```
我想达到的就是，除了列出来的这些端口，不能从其他端口访问这个 vps，同时，vps 访问任意外网都不影响

@mengyaoss77 指定了可以接受的端口，请看另一条回复

apt 作为本地应用 按道理端口似乎是随机的？ 不太清楚， 你抓包试试看

1. 加一条这个，我相信就可以了。

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

2. 没有看到 22..........，lz 自定义 ssh 端口了？

你 drop 掉了所有 output 方向 return 的数据，要加上一条规则 允许 established 的 tcp 数据包通过

@zyzrichard 是的，vps 的 ssh 都是其他端口

今天 v 站是怎么了...
刚看到一个 mv xxx ../... 说找不到文件的...
现在有看到一个 drop 所有入站 tcp 流量, 说 apt 不能用的..........

@zyzrichard 正解。

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

这条加在最前面

就好比通话的时候你把耳机摘了，然后说听不到对方说话 -_-

@pubby 出站和入站的端口不是同一个啊，我以为是同一个

如果想做白名单，只需要把 INPUT 的默认 POLICE 改成 DROP 就行了呀。然后白名单放行指定的流量

当然，-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 这条也是一定要有的，为啥要删这条。

@yuzunzhi 之前不太理解这条是干啥的