iptables如果限制某端口只允许本地环路访问呢？

This topic created in 4680 days ago, the information mentioned may be changed or developed.

某端口只想让其可以被127.0.0.1访问，但是它的监听状况为0.0.0.0:8080 ，明显外网也可以访问。尝试用iptables drop这个端口然后允许127.0.0.1，但是发现好像禁止不了外网访问，球各位牛指点。

我iptables这样设置的。并且重启了iptables
iptables -I INPUT -p TCP --dport 8080 -j DROP
iptables -I INPUT -s 127.0.0.1 -p TCP --dport 8080 -j ACCEPT

iptables

127.0

10 replies • 1970-01-01 08:00:00 +08:00

chon

Jul 21, 2013

外网是非TCP访问的么

roiz

Jul 21, 2013

@chon telnet ip:8080发现还是通的

chon

Jul 21, 2013

@roiz 刚刚做了一下实验发现没有问题啊，你这是不是弄错了没有从「纯」外网访问？

roiz

Jul 22, 2013

@chon 很诡异的说我刚刚确实这么运行的，就能通，现在重新运行了一下确实好了··

angelo_peng

Jul 22, 2013

iptables -A INPUT -i lo -j ACCEPT
通过127.0.0.1的访问全部通过。
不用限制太多了。

roiz

Jul 22, 2013

@chon 又不行了··我压抑了

roiz

Jul 22, 2013

@chon
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:8080

这样还能访问我真的凌乱了···

chon

Jul 22, 2013

@roiz 所以感觉是不是你测试的时候路由有问题。。。或者连了VPN啥的

roiz

Jul 22, 2013

@chon国内虚拟化水平太差了，弄了半天最后无奈升级了一下iptables，居然可以了！不是路由的问题，谢谢你的热心帮助！

jasontse

Jul 22, 2013 via iPad

iptables -A INPUT -i ! lo -p tcp --dport 8080 -j DROP