摩托學園討論區

[jochang6]

各位,小弟遇到的問題是這樣的
已經將debian設定好了nat及dhcp
測試上網都ok
於是用iptables增加安全性
INPUT的原則是設為DROP
現在只有開放localhost及內部網路

iptables -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
iptables -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
iptables -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
iptables -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

如此也都ok
但執行apt-get install 時,會有無法安裝的情形,一直停在0%
把iptables INPUT的原則改回ACCEPT則正常可安裝
不知要用apt-get install 該開放哪些port啊

[d2207197]

如果你要當 client 連到某個 server
以下規則必備
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

有開 icmp 比較好
AICMP="0 3 3/4 4 11 12 14 16 18"
for tyicmp in $AICMP
do
/sbin/iptables -A INPUT -i $EXTIF -p icmp --icmp-type $tyicmp -j ACCEPT
done

[jochang6]

如果你要當 client 連到某個 server
以下規則必備
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

謝謝,加上這行!apt就正常了
自己機器主動連線回傳的封包要接受
設firewall這點居然忘了真是慚愧

有開 icmp 比較好
AICMP="0 3 3/4 4 11 12 14 16 18"

再加上icmp的控制更完美了,謝謝提醒
請教這些數字是代表icmp封包的發送頻率嗎?
要如何解讀呢?請指教

[d2207197]

不是頻率，是種類

可以參考 study-area 或 鳥哥的網站

[jochang6]

原來是icmp type,謝謝學長的提示
找到一篇介紹的文章,有興趣的人可參考看看
http://www.cs.northwestern.edu/~pdinda/ ... -icmp1.pdf