在iptables的INPUT CHAIN
、FORWARD CHIAN
和OUTPUT CHAIN
中,每当遇到匹配的ACCEPT
或者REJECT
或者DROP
规则时,就不会再继续向下匹配。
所以,以INPUT CHAIN
为例,如果想打开某一个特定端口(比如TCP 1990),而屏蔽掉其它端口,应该这样配置:
-A INPUT -p tcp --dport 1990 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited