Как я могу заблокировать все, кроме трех портов в Ubuntu?

Как я могу заблокировать все порты, кроме 1962, 999, 12020?

Один порт для SSH и два других для своего рода скрипта. Итак, необходимо разрешить исходящие на этих портах, верно?

Мои iptables:

# Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012
*mangle
:PREROUTING ACCEPT [643521:136954367]
:INPUT ACCEPT [643521:136954367]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [645723:99904505]
:POSTROUTING ACCEPT [645723:99904505]
COMMIT
# Completed on Sat Feb 25 17:25:21 2012
# Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012
*filter
:INPUT ACCEPT [643490:136950781]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [645723:99904505]
-A INPUT -p tcp -m tcp --dport 1962 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 999 -j ACCEPT 
COMMIT
# Completed on Sat Feb 25 17:25:21 2012
# Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012
*nat
:PREROUTING ACCEPT [5673:734891]
:POSTROUTING ACCEPT [2816:179474]
:OUTPUT ACCEPT [2816:179474]
COMMIT
# Completed on Sat Feb 25 17:25:21 2012

Извините, но я новичок в этом деле, и я просто хочу сделать свой сервер более безопасным.

Сначала вы всегда должны промывать, чтобы убедиться, что уже определено ... ничего

iptables -F

Затем установите политику по умолчанию для цепочки INPUT на DROP, если достигнут конец и не найдено ни одного правила:

iptables -P INPUT DROP

Чтобы убедиться, что петля не затронута, вы должны добавить

iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

разрешить весь трафик в lo-if и каждый входящий трафик для установленных вами соединений. После этого добавьте все правила, которые вам нужны для ваших служб (не забудьте открыть ssh, если вам это нужно! Иначе вы вышли) :

iptables -A INPUT -p tcp -m tcp --dport 1962 -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 999 -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 12020 -j ACCEPT 

Небольшой трюк, который я делаю, чтобы не дать себе и другим случайно вскрыть дыры в безопасности, и наконец добавляю:

iptables -A INPUT -j DROP

Эта строка соответствует всему для цепочки INPUT, и политика не должна ничего получать. Преимущество этого в том, что даже если вы добавляете ACCEPT-правило через некоторое время после инициализации набора правил, оно никогда не станет проверенным, потому что все ранее было отброшено. таким образом, вы должны хранить все в одном месте.

На ваш вопрос все выглядит примерно так:

iptables -F
iptables -P INPUT DROP
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 1962 -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 999 -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 12020 -j ACCEPT 
iptables -A INPUT -j DROP

Ответ от новичка, такого же как вы :-) Мне также нужно было защитить свой сервер Ubuntu, изучение iptables было болью, которую я не мог преодолеть. UFW (Uncomplicated Firewall) - это программа, которая максимально упрощает настройку брандмауэра.

• установить UFW:

  sudo apt-get install ufw
  

• немедленно отключите его (мне пришлось выполнить аварийно-загрузочную загрузку, потому что я был заблокирован из своего собственного входа в SSH):

  sudo ufw disable
  

• установите "deny" как правило по умолчанию (это блокирует все порты):

  sudo ufw default deny
  

• разрешить порты вам нужно:

  sudo ufw allow to 1962
  sudo ufw allow to 999
  sudo ufw allow to 12020
  
  sudo ufw allow from 1962
  sudo ufw allow from 999
  sudo ufw allow from 12020
  

• если вы уверены, что приведенные выше правила не нарушают ваше ssh-соединение, включите ufw:

  sudo ufw enable
  

Документы хорошо написаны и предоставляют больше примеров: https://help.ubuntu.com/community/UFW