iptablesにいくつかのWebポートを追加しようとしましたが、そうすると外部アドレスを確認する機能が失われました。作業中のSSHセッションが開いていて、必要に応じてボックスに簡単にアクセスできます。
現在のiptables設定は次のとおりです。
[user@boxen]# iptables --line-numbers -n -L
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 /* 100 allow http and https access */ state NEW
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport ports 22 /* 100 ssh 22 */
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
そして猫/etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1:196]
-A INPUT -p tcp -m multiport --dports 80,443 -m comment --comment "100 allow http and https access" -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m multiport --ports 22 -m comment --comment "100 ssh 22" -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Wed Sep 25 14:20:02 2013
ゲートウェイなどをpingできません。同じラック内の他のボックスのゲートウェイにpingを送信できます。 iptablesの更新が失敗する前にゲートウェイにpingを実行できました。
この設定に問題がありますか?
答え1
さて、次のトラフィックではなく、すべての着信トラフィックを削除しました。
- TCPポート80または443
- TCPポート22
- ローカルホストから
おそらく、次のルールを作成しようとします。
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
これで、DNS応答(通常はUDPソースポート53)が破棄されます。 ICMPエコー応答(ping応答)も同様です。