IPv4 iptables はエントリをブロックしますが、出力ポリシーは許可されます。 INPUT DROPチェーンにはどのような問題がありますか?

IPv4 iptables はエントリをブロックしますが、出力ポリシーは許可されます。 INPUT DROPチェーンにはどのような問題がありますか?

これは私のiptables現在のIPv4のリストです。

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

使用しようとすると、apt-getDNS名をIPに変換できません。この問題をどのように解決して機能させることができますか?

答え1

オプションではなく、ループバックデバイスの許可を見逃しました。

-A INPUT -i lo -m comment --comment loopback -j ACCEPT

これを最初のルールとして追加すると完了です。あなたのためのよい幅広い説明を見つけましたこのデバイスはAskUbuntuなどで何を表します。


また、オプションのステップであるステップ2:ICMPプロトコルを許可することをお勧めします。

-A INPUT -p icmp -m limit --limit 5/sec --limit-burst 15 -m comment --comment icmp -j ACCEPT

最後に、オプションのステップをお勧めします。ステップ3:SSH接続をローカルネットワークのみに制限し、サブネットに変更したことを確認します。

-A INPUT -s 192.168.0.0/24 -p tcp -m conntrack --ctstate NEW,ESTABLISHED -m tcp --dport 22 -m comment --comment ssh -j ACCEPT

注:数時間後にINPUT DROPルールを使用すると、次のDROP番号が表示されます。

Chain INPUT (policy DROP 8354 packets, 732K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     6315  612K ACCEPT     all  --  lo     any     anywhere             anywhere             /* loopback */
2       13  1072 ACCEPT     icmp --  any    any     anywhere             anywhere             limit: avg 5/sec burst 15 /* icmp */
3     190K  697M ACCEPT     all  --  any    any     anywhere             anywhere             ctstate RELATED,ESTABLISHED /* traffic */
4        0     0 ACCEPT     tcp  --  any    any     192.168.0.0/24       anywhere             ctstate NEW,ESTABLISHED tcp dpt:ssh /* ssh */

関連情報