如题，这个不是控制外部访问系统端口的吗？为啥会影响 apt

这个会阻断所有外部进来的 TCP 流量了把。封端口用 iptables -A INPUT -p tcp/udp --port xx -j DROP

你都没指定端口


我的规则保存下来文件是这样的
```
Generated by iptables-save v1.6.0 on Thu Jul 13 03:39:36 2017
*filter
:INPUT ACCEPT [75:7987]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 27145 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 13588 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 13589 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1017 -j ACCEPT
-A INPUT -p tcp -j DROP
-A OUTPUT -j ACCEPT
COMMIT
Completed on Thu Jul 13 03:39:36 2017
```
我想达到的就是，除了列出来的这些端口，不能从其他端口访问这个 vps，同时，vps 访问任意外网都不影响

指定了可以接受的端口，请看另一条回复

apt 作为本地应用 按道理端口似乎是随机的？ 不太清楚， 你抓包试试看

1. 加一条这个，我相信就可以了。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
2. 没有看到 22..........，lz 自定义 ssh 端口了？

你 drop 掉了所有 output 方向 return 的数据，要加上一条规则 允许 established 的 tcp 数据包通过

是的，vps 的 ssh 都是其他端口

今天 v 站是怎么了...
刚看到一个 mv xxx ../... 说找不到文件的...
现在有看到一个 drop 所有入站 tcp 流量, 说 apt 不能用的..........

正解。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
这条加在最前面

就好比通话的时候你把耳机摘了，然后说听不到对方说话 -_-

出站和入站的端口不是同一个啊，我以为是同一个

如果想做白名单，只需要把 INPUT 的默认 POLICE 改成 DROP 就行了呀。然后白名单放行指定的流量

当然，-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 这条也是一定要有的，为啥要删这条。

之前不太理解这条是干啥的