debian iptables学习 2

前两天刚把IPTABLES安装好并能工作，但是没有配置什么策略，最近学习了一些策略，特记录下来。
我做的策略方式是首先将INPUT默认设为drop，然后按需求开启;FORWARD也设成DROP；而OUTPUT呢，暂不做策略。
1、将默认策略设为drop
       iptables -P INPUT DROP
2、开启ssh，我都是使用远程到服务器上去学习的，所以安装了ssh,并把ssh端口改为了6789
     iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
     iptables -A INPUT -p tcp -dport -j ACCEPT
TCP/IP 本身是双向的，也就是有出必有进，有进必有出。这个规则没考虑到这点问题。
-m state --state ESTABLISHED 扮演很重要角色，那就是允许连线出去后对方主机回应进来的封包。

3、现在可以使用ssh上去管理了。由于我的debian上建立了DNS还有samba还供学习用，所以为了这台服务器功能更多，我还得开启这些端口：
    iptables -A INPUT -p tcp -m multiport -dport 139,445 -j ACCEPT
    iptables -A INPUT -p tcp -m multiport -dport 137,138 -j ACCEPT
    iptables -A INPUT -p tcp -dport 53 -j ACCEPT
    iptables -A INPUT -p udp -dport 53 -j ACCEPT
    iptables -A INPUT -p tcp -dport 88 -j ACCEPT(因为我的samba是与AD集成的需要krb5验证)
4、允许ping
    iptables -A INPUT -p icmp -j ACCEPT