このiptablesルールが私のWebサーバーをブロックするのはなぜですか?

このiptablesルールが私のWebサーバーをブロックするのはなぜですか?

リモートサーバーにMathematicaを設定していますが、UIにアクセスする必要があります。私は次のようにVNCを設定しました。http://wiki.centos.org/HowTos/VNC-サーバー、 iptables を変更する操作が含まれます。 3分ほど過ぎると携帯電話が振動し始めた。私はこれを見てショックを受けました:

ここに画像の説明を入力してください。

以下は/etc/sysconfig/iptablesに追加した行です。

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -m multiport --dports 5901:5903,6001:6003 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

私は私がやっていることに多くの間違いがあることを知っています。

  1. リアルタイム放送システムに変更されました。公平に言えば、これは私がMathematicaをインストールしたシステムであり、利用規約に応じて1つのシステムにのみインストールできます。

  2. リアルタイム放送システムに変更されました。

  3. リアルタイム放送システムに変更されました。

  4. 私が何をしているのかわかりません。

だから私の質問は、Webサーバーとおそらく他のポートへのアクセスをブロックする部分です。

答え1

コロンで始まる行とルール名(例:INPUT ACCEPT [0:0]:)はそのチェーンをリセットします。以前のルールはすべてフラッシュされます。ルールを追加するには、-A INPUT …行を追加してください。そのチェーンを参照する他のルールの前には、各チェーンに1行が必要です。したがって、すでに存在するすべてのルールは、追加したコードのために事実上無視されます。:CHAIN/etc/sysconfig/iptables

リモートコンピュータでファイアウォールを操作することは常に危険です。これを行う必要がある場合、リスクを最小限に抑えるためのヒントは次のとおりです。

  • iptables満足するまでインタラクティブにコマンドを実行してください。十分なテストなしで構成ファイルを編集しないでください。
  • スクリーンまたはtmuxを使用してください。ファイアウォールルールを使用すると、接続が失われる可能性があります。
  • 変更する前に、sleep 60 && iptables-restore </etc/sysconfig/iptablesscreen / tmuxウィンドウでコマンドを実行してください。これにより、1分後にデフォルト設定が再適用されます。変更が正しく適用されたら、このウィンドウに戻り、Ctrl+を使用してキャンセルしてくださいC

答え2

何が起こっているのか調べました。新しいルールは以前のルールを上書きし、SSHポートとVNCポートのみを開いたままにしました。ファイルの以前の構成にVNCルールを追加しました。解決しました!

答え3

icmpプロトコルはvnc接続を禁止するのではなく、主にpingに使用されるようです。割り当てられたWebサーバーポートがiptablesで開かれていないことを確認してください。

関連情報