iptablesの変更後に接続が切断されました。

iptablesの変更後に接続が切断されました。

iptablesにいくつかのWebポートを追加しようとしましたが、そうすると外部アドレスを確認する機能が失われました。作業中のSSHセッションが開いていて、必要に応じてボックスに簡単にアクセスできます。

現在のiptables設定は次のとおりです。

[user@boxen]# iptables --line-numbers -n -L

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 80,443 /* 100 allow http and https access */ state NEW 
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport ports 22 /* 100 ssh 22 */ 
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
4    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

そして猫/etc/sysconfig/iptables

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1:196]
-A INPUT -p tcp -m multiport --dports 80,443 -m comment --comment "100 allow http and https access" -m state --state NEW -j ACCEPT 
-A INPUT -p tcp -m multiport --ports 22 -m comment --comment "100 ssh 22" -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Wed Sep 25 14:20:02 2013

ゲートウェイなどをpingできません。同じラック内の他のボックスのゲートウェイにpingを送信できます。 iptablesの更新が失敗する前にゲートウェイにpingを実行できました。

この設定に問題がありますか?

答え1

さて、次のトラフィックではなく、すべての着信トラフィックを削除しました。

  1. TCPポート80または443
  2. TCPポート22
  3. ローカルホストから

おそらく、次のルールを作成しようとします。

iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

これで、DNS応答(通常はUDPソースポート53)が破棄されます。 ICMPエコー応答(ping応答)も同様です。

関連情報