Ваши политики (кроме вывода) должны быть установлены отбросить (следующий код не принимает правил на месте),
запустите с этого
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
теперь добавьте любые другие сервисы, что Вам, возможно, понадобится слушание в интерфейсе
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
не используйте отклонение, если Вы не ограничиваете его... помнят за каждый пакет, отправленный, это отклонило, каждого передадут обратно, это может создать большой трафик. Я говорю, просто не используют его
У меня есть вещь, которую я записал для настольного использования здесь
Похоже, что Вы установлены отклонить что-либо пытающееся использовать TCP для общения с локальным хостом. Я избежал бы, что, потому что существует несколько законных вещей [необходима цитата], которые были бы предотвращены этим.
Единственная вещь решительно неправильно состоит в том, что Вы блокируете ICMP. Очень очень плохая идея. Это повреждает исследование PMTU. Просто пропустите ICMP.
Я предполагаю, что Вы только что включили это для тестирования, но:
ACCEPT all -- anywhere anywhere
позволяет весь трафик. Так, этот ruleset ничего не делает.
Вы также повреждаетесь:
Предложения:
state NEW
к Вашему dpt:http
и dpt:https
также?