求助：如何修改cl的防火墙默认策略

zichuan

cl确实小巧玲珑但有一个困扰兄弟N久的问题，望各位高手指点一二。cl的默认防火墙策略是全部放行，如何改成全部屏蔽。希望各位高手不吝赐教！

bow

保守的方法都是先都封掉。然后用什么开什么。这样使安全第一，但会很麻烦。

zichuan

想将全部放行改成全部阻断，再开需要的端口和协议

DreamCat

不管什么路由，也不管你是否做了配置，没有默认就接受所有外部连接的。当然，自身开的其他服务不算。你说的要禁止，是禁止什么呢？而且对于IPtables来讲，必须是先接受然后是单独禁止。

zichuan

我指的是由内向外的数据流，希望先全部屏蔽，然后按需开启，这需要改动其默认策略，由全部放行为全部关闭。

DreamCat

QUOTE
先全部屏蔽，然后按需开启
可以是可以，不过那得麻烦死你。。。。

DreamCat

不管什么防火墙，默认策略无非两种：1、先是全部禁止，然后是有选择放行。这种策略是最安全的。2、先是全部放行，然后是针对性的禁止。说说我个人的看法：对于第一种，我感觉适合于服务器使用。毕竟服务器使用的协议端口比较少，操作起来比较简单。但是对于普通应用（比如企事业单位、个人）来说，连接建立自内网，会使用许多未知的服务，一旦碰到没有放行的服务端口，需要再添加放行规则。除非有专人管理，不然是很麻烦的。但是这种策略无疑是最安全的。也能够有效的防止木马。而第二种，也就是多数包过滤防火墙的特点，个人感觉就是亡羊补牢型的，总是在出了问题的时候再增加规则进行防范。CL 就是这种。这种方法的好处是自明的。这个话题值得讨论。建议各位参与讨论。。。题外话：最近一直在恶补 iptables，翻了N多的资料，才发现为什么多数路由软件都叫 FIREWALL。哈哈。。。