LINUX.ORG.RU
ФорумGeneral

Ч то не так с правилами iptables, помогите


0

0

Налабал правил iptables /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT DROP /sbin/iptables -P FORWARD ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 22 -s 192.168.1.10 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp --sport 22 -d 192.168.1.10 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --sport 80 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --sport 443 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --sport 53 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT /sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT /sbin/iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

загнал в скрипт и удаленно через SSH запустил, после этого машина вообще перестала быть доступной из сети, хотя все смотрел со своего компа - с адреса 192.168.1.10 Что не так в правилах, посоветуйте новичку? P.S. Настройка iptables должна быть без conntrack.

anonymous

условие неполное: что за 192.168.1.10? откуда запустил? где запустил?

вопрос неверный: в правилах всё так. непонятно чего именно тебе от них надо.

scyld
()

Ну если на 192.168.1.10 стоит линукс или другая UNIX-like ОС, то можно попробовать зайти по с ssh, запустив его с локального порта 80 или 443. Возможно, что в скрипте ошибка, и одно из правил не выполнилось...

>P.S. Настройка iptables должна быть без conntrack.

Насколько я помню, раньше iptables в любом случае загружали модуль conntrack. Поэтому особой разницы нет, создавать правила типа "--state ESTABLISHED" или нет...

P.S. Прежде чем задавать политку DROP, можно просто загрузить нужные правила, пару раз посмотреть счетчики (iptables -L -n -v), убедиться что счетчики нужных правил растут и уже потом делать -P DROP.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General