服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在DROP策略上的端口转发
Intereting Posts
如何使用无人值守Ubuntu安装(14.04)进行“select并安装软件”问题 如何诊断Apache / Tomcatconfiguration中的“502 Bad Gateway”响应? 为新用户/计算机自动安装所有软件的最简单方法? 使用STSADM将日历添加到SharePoint网站 如何通过ssh作为另一个用户通过sudo运行GUI应用程序 用Ansiblepipe理OpenVZ容器 Ubuntu的垃圾收集cron工作为PHP会话需要25分钟运行,为什么? 如何监控每个用户的总出站带宽使用情况? 如何正确设置Trac背后的Nginx? 如何保护戴尔Idrac卡? Apache sudoers访问 繁忙的web服务器上的Apache日志logging策略:写争用? 转发www的子域到新的顶级域的域名? IIS SMTP服务器是否足够适合生产服务器? 系统时间在Proxmox VE主机中是错误的,我该如何解决?

在DROP策略上的端口转发

我正在尝试在端口80上执行端口转发到虚拟机。 如果在input,输出和转发链上设置默认策略为ACCEPT,则转发工作。 但是,如果我把这个政策放在DROP上,打开相关的港口,我就无法工作了。 我错过了什么? 

#!/bin/bash IPT="/sbin/iptables" echo "Starting IPv4 Wall..." $IPT -F $IPT -X $IPT -t nat -F $IPT -t nat -X $IPT -t filter -F $IPT -t filter -X $IPT -t mangle -F $IPT -t mangle -X $IPT -t nat -F PREROUTING $IPT -t nat -F POSTROUTING $IPT -t nat -F OUTPUT #modprobe ip_conntrack # DROP all incomming traffic $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD ACCEPT # Unlimited Access to localhost $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT #Allow ESTABLISHED,RELATED $IPT -A INPUT -i em4 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -o em4 -m state --state ESTABLISHED,RELATED -j ACCEPT #Allow outbound SYN requests $IPT -A OUTPUT -o em4 -m state --state NEW -j ACCEPT #Allow SSH (Port 22) $IPT -A INPUT -i em4 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT $IPT -A OUTPUT -o em4 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT ### Allow HTTP port 80 ###$IPT -A INPUT -i em4 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT ###$IPT -A OUTPUT -o em4 -p tcp --sport 80 -m state --state NEW,ESTABLISHED -j ACCEPT # allow HTTP & HTTPS $IPT -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT $IPT -A INPUT -p tcp -m multiport --sports 80,443 -j ACCEPT # allow DNS $IPT -A OUTPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow Ports 2222:2226 $IPT -A INPUT -i em4 -p tcp --dport 2222:2226 -m state --state NEW,ESTABLISHED -j ACCEPT $IPT -A OUTPUT -o em4 -p tcp --sport 2222:2226 -m state --state NEW,ESTABLISHED -j ACCEPT ##funciona $IPT -t nat -A PREROUTING -p tcp --dst $EXTERNALIP --dport 80 -j DNAT --to-destination 192.168.122.1:8080 $IPT -t nat -A POSTROUTING -p tcp --dst 192.168.122.1 --dport 8080 -j SNAT --to-source $EXTERNALIP $IPT -t nat -A OUTPUT --dst $EXTERNALIP -p tcp --dport 80 -j DNAT --to-destination 192.168.122.1:8080 $IPT -I FORWARD -j LOG --log-prefix "iptables denied" echo "Done, exiting" exit 0

官方的netfilter文档指出PREROUTING在INPUT链之前被检查。

https://superuser.com/a/674103/21439

换句话说,NEW数据包首先经过PREROUTING,当你的INPUT或FORWARD检查NEW数据包时,它已经包含了目标端口8080.并且它被你自己的规则抛弃了。