关于iptables filter INPUT 链 默认拒绝的设置经验。

设置为默认拒绝，只打开自己需要的端口可以最大限度保证安全。

我的规则如下

[root@iou ~]# iptables -L --line-number -nv
Chain INPUT (policy DROP 184 packets, 10691 bytes)
num   pkts bytes target     prot opt in     out     source               destination        
1      141 17157 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:53
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:53
3        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:67
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:67
5        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
6        8   672 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
7     8076 9620K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:80
8        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8

特别需要注意的一点是，端口我一开始是设置的dport，结果死活不通。改为sport才好，这个要注意一下。

先允许自己能上网，允许源端口53（dns），80（HTTP），ssh（22，注意，这里是dport），443（https），21（ftp）。其他端口随着我的服务器搭建进度再行添加。