centos iptables如何阻止所有外网连接

在 CentOS 系统中，使用 iptables 阻止所有外网连接可以通过设置默认策略为 DROP 来实现。以下是具体步骤：

1. 备份当前的 iptables 规则： 在进行任何更改之前，建议先备份当前的 iptables 规则，以便在需要时可以恢复。

   sudo iptables-save >
        /etc/iptables.rules
   

2. 设置默认策略为 DROP： 将 INPUT、FORWARD 和 OUTPUT 链的默认策略设置为 DROP。

   sudo iptables -P INPUT DROP
   sudo iptables -P FORWARD DROP
   sudo iptables -P OUTPUT DROP
   

3. 允许本地回环接口的流量： 允许来自本地回环接口（lo）的流量，这对于本地通信是必要的。

   sudo iptables -A INPUT -i lo -j ACCEPT
   sudo iptables -A OUTPUT -o lo -j ACCEPT
   

4. 允许已建立的连接： 允许已经建立的连接和相关的流量通过。

   sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
   sudo iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
   

5. 允许特定的入站连接： 根据需要，允许特定的入站连接，例如 SSH 连接（默认端口 22）。

   sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
   

6. 保存 iptables 规则： CentOS 7 及以上版本使用 firewalld 作为默认的防火墙管理工具，因此需要使用 firewall-cmd 来保存规则。

   sudo firewall-cmd --runtime-to-permanent
   

7. 重启防火墙服务： 重启防火墙服务以应用新的规则。

   sudo systemctl restart firewalld
   

如果你使用的是 CentOS 6 或其他不支持 firewalld 的版本，可以使用 service iptables save 命令来保存规则。

sudo service iptables save

完成以上步骤后，你的 CentOS 系统将阻止所有外网连接，只允许本地回环接口的流量、已经建立的连接以及你明确允许的特定入站连接。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！