在 ubuntu 中, 设置
极客观点
项目管理
HarmonyOS
ip6tables -P INPUT DROP将外界所有ipv6流量拦截,目的是外网无法访问内网中的服务
但是这样的话设备也无法访问纯ipv6网站,如:
curl http://[2402:4e00:1013:e500:0:940e:29d7:3443]/猜测是回来的流量被DROP了?
netfilter-persistent文件
思路我简单讲下:iptables提供一个conntrack的链接状态跟踪模块,它能针对具体的链接状态进行处理。以tcp链接为例,tcp三次握手后,这个链接就是ESTABLISHED的状态了,后续交互的数据包不需要重新握手识别。
我们可以不过滤本机出去的包(iptables默认逻辑),并基于上面提到的模块,对进来的数据包(input)进行识别。如果是某个应用先主动出去的包对应的交互数据包,那么他的链接状态是经过识别的,不会是新握手的,基于这个原因,可以过滤出来。
比如,针对你的第一个问题,下面的规则可以实现
ubuntu-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT后续如果需要暴露部分端口,则在上面的规则下面增加对应的放通规则
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT7 回答5.3k 阅读
4 回答4k 阅读
2 回答5.9k 阅读✓ 已解决
2 回答2.5k 阅读✓ 已解决
2 回答1.5k 阅读✓ 已解决
1 回答2.3k 阅读✓ 已解决
2 回答793 阅读✓ 已解决
应该可以通过tcp状态来实现你的要求,如下示例,在你的基础上再添加一条记录,这将保证tcp第二次握手的时候不会被iptables拦截掉。