IPTables: предоставьте доступ SSH только, ничто иное в или
мы успешно сделали это, однако оборотная сторона - то, что существуют случайные "синие" экраны когда перезагрузки сервера. Существует затем загадка поддержки, поскольку MS не занимается поддержкой кластерных систем NIC, и поставщик (DELL) не имеют никакого ответа на проблему "синего" экрана.
Если Вы хотите контактировать, мы можем подкачать примечания по нему.
Mark
Необходимо только установить политику по умолчанию ОТБРОСИТЬ на ВХОДНЫХ И ВЫХОДНЫХ цепочках.
Для разрешения SSH войти Вам нужны следующие команды:
$ sudo iptables -P INPUT DROP
$ sudo iptables -P OUTPUT DROP
$ sudo iptables -A INPUT -i lo -j ACCEPT
$ sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$ sudo iptables -A OUTPUT -o lo -j ACCEPT
$ sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
Последние две команды позволяют петлевой трафик, поскольку это требуется некоторыми приложениями функционировать правильно. Можно ограничить доступ SSH в определенном использовании IP -s source_ip опция.
Выполнение команд в порядке как показано выше заставит Вашу текущую сессию SSH зависать. Это вызвано тем, что команды iptables сразу вступают в силу. Необходимо выполнить их в сценарии оболочки, чтобы не терять способность соединиться с машиной при выполнении их удаленно.
Что-то вроде этого:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j REJECT # or iptables -P INPUT DROP
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j REJECT # or iptables -P OUTPUT DROP