服务器 Gind.cn
  1. 服务器 Gind.cn
  3. iptable – configuration本地networking的出站stream量
Intereting Posts
在solaris中,如何监视和自动响应关键事件 检测数据库入侵的最佳策略是什么? 导出sql server 2005的表/视图定义 OpenVpn iptables错误 SQL Server:CheckDB在一个数据库上运行得足够快,在另一个数据库上运行缓慢 Kubernetes – 我可以避免使用GCE负载平衡器来降低成本吗? 如何强制dnsmasq为某些主机使用dns? 检查传入的networkingstream量实时? SQL Server最大RAM 尝试在Solaris 11.3 VM上安装golang 超级简单的一行configuration后,Squid连接被拒绝 在活动服务器上重新安装根分区 这是一个好的行为? 任务未运行(上次运行结果0x41325) 赢得服务器GPO映射驱动器缺less“连接为”function

iptable – configuration本地networking的出站stream量

我重新安装了一个基于CentOS的ClearOS盒子。 以前的安装运行良好3年,没有一个小故障,但我可能会错误地configuration这个安装的东西,因为事情不能正常工作。

  1. 禁用内容过滤时,浏览互联网不起作用。 我以前能够浏览而无需通过代理,但是这不再工作,除非启用了Web代理。 同样sshstream量。

  2. 这更严重:本地networking无法连接到外部ssh服务器。 看来端口22是不被允许出来,但我有防火墙设置为允许所有外部stream量。

相关的configuration发布如下,路由和iptables列表。

iptable的: 

[root@alcastraz ~]# iptables --list -n -v Chain INPUT (policy DROP 223 packets, 9229 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all -- eth0 * 0.0.0.0/0 46.241.27.20 0 0 DROP all -- eth0 * 46.241.27.20 0.0.0.0/0 0 0 DROP all -- eth0 * 0.0.0.0/0 196.29.120.73 0 0 DROP all -- eth0 * 196.29.120.73 0.0.0.0/0 88 3768 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset 18 1602 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW 0 0 DROP all -- eth0 * 127.0.0.0/8 0.0.0.0/0 0 0 DROP all -- eth0 * 169.254.0.0/16 0.0.0.0/0 9422 2499K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- pptp+ * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0 14099 2515K ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT udp -- eth2 * 0.0.0.0/0 192.168.0.50 udp spt:68 dpt:67 0 0 ACCEPT tcp -- eth2 * 0.0.0.0/0 192.168.0.50 tcp spt:68 dpt:67 0 0 ACCEPT udp -- eth2 * 192.168.0.0/24 192.168.0.50 udp dpt:53 0 0 ACCEPT tcp -- eth2 * 192.168.0.0/24 192.168.0.50 tcp dpt:53 35 1015 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 0 0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 3 0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 8 0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 11 76 25624 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:67 dpt:68 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.50 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 96.22.88.25 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.50 tcp dpt:443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 96.22.88.25 tcp dpt:443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.50 tcp dpt:22 0 0 ACCEPT tcp -- * * 0.0.0.0/0 96.22.88.25 tcp dpt:22 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.50 tcp dpt:1875 0 0 ACCEPT tcp -- * * 0.0.0.0/0 96.22.88.25 tcp dpt:1875 0 0 ACCEPT udp -- eth2 * 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535 state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED,ESTABLISHED 438 56397 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535 state RELATED,ESTABLISHED 18645 6458K ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED,ESTABLISHED Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all -- eth0 * 0.0.0.0/0 46.241.27.20 0 0 DROP all -- eth0 * 46.241.27.20 0.0.0.0/0 0 0 DROP all -- eth0 * 0.0.0.0/0 196.29.120.73 0 0 DROP all -- eth0 * 196.29.120.73 0.0.0.0/0 0 0 ACCEPT icmp -- * * 192.168.0.0/24 0.0.0.0/0 icmp type 0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 192.168.0.0/24 icmp type 0 0 0 ACCEPT icmp -- * * 192.168.0.0/24 0.0.0.0/0 icmp type 3 0 0 ACCEPT icmp -- * * 0.0.0.0/0 192.168.0.0/24 icmp type 3 4 336 ACCEPT icmp -- * * 192.168.0.0/24 0.0.0.0/0 icmp type 8 0 0 ACCEPT icmp -- * * 0.0.0.0/0 192.168.0.0/24 icmp type 8 0 0 ACCEPT icmp -- * * 192.168.0.0/24 0.0.0.0/0 icmp type 11 0 0 ACCEPT icmp -- * * 0.0.0.0/0 192.168.0.0/24 icmp type 11 0 0 DROP icmp -- * * 192.168.0.0/24 0.0.0.0/0 0 0 DROP icmp -- * * 0.0.0.0/0 192.168.0.0/24 0 0 ACCEPT all -- * * 192.168.0.0/24 192.168.0.0/24 state RELATED,ESTABLISHED 0 0 DROP all -- * * 192.168.0.0/24 192.168.0.0/24 0 0 ACCEPT all -- * * 192.168.0.0/24 192.168.0.0/24 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all -- eth2 * 0.0.0.0/0 0.0.0.0/0 84 4754 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- pptp+ * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 9440 2500K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- * pptp+ 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- * tun+ 0.0.0.0/0 0.0.0.0/0 15382 6989K ACCEPT all -- * eth1 0.0.0.0/0 0.0.0.0/0 35 1015 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67 0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp spt:68 dpt:67 0 0 ACCEPT tcp -- * eth2 192.168.0.50 0.0.0.0/0 tcp spt:80 0 0 ACCEPT tcp -- * eth0 96.22.88.25 0.0.0.0/0 tcp spt:80 0 0 ACCEPT tcp -- * eth2 192.168.0.50 0.0.0.0/0 tcp spt:443 0 0 ACCEPT tcp -- * eth0 96.22.88.25 0.0.0.0/0 tcp spt:443 0 0 ACCEPT tcp -- * eth2 192.168.0.50 0.0.0.0/0 tcp spt:22 0 0 ACCEPT tcp -- * eth0 96.22.88.25 0.0.0.0/0 tcp spt:22 0 0 ACCEPT tcp -- * eth2 192.168.0.50 0.0.0.0/0 tcp spt:1875 0 0 ACCEPT tcp -- * eth0 96.22.88.25 0.0.0.0/0 tcp spt:1875 0 0 ACCEPT all -- * eth2 0.0.0.0/0 0.0.0.0/0 21153 3140K ACCEPT all -- * eth0 0.0.0.0/0 0.0.0.0/0 Chain drop-lan (0 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

路线: 

 [root@alcastraz ~]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 192.168.0.0 * 255.255.255.0 U 0 0 0 eth2 96.22.88.0 * 255.255.255.0 U 0 0 0 eth0 default modemcable001.8 0.0.0.0 UG 0 0 0 eth0

任何帮助或信息解决这将不胜感激。

谢谢!

这是一套手工制定的规则吗?

有一件事情是跳出来的:networking192.168.0.0/24在两个接口: eth1eth2 – 这几乎肯定不是你想要的。

对于一般的debugging,你也可以使用这个命令: 

 watch -d iptables -L -v -n

(或者这个的一些变体)。然后你可以看到数据包随着stream量的增加而增加。 这对于低stream量的networking来说只是非常有用的,因为在这个networking中你没有太多的外部stream量。

另一个要做的是打开一些防火墙条目的LOGlogging:使用LOG目标扩展。

另一件事:重置计数,看看什么是下降,或更好的是,使用LOG目标结合DROP规则。 在你的列表中,只有两个已经匹配的规则,并且已经丢弃了数据包(从上下文中拉出规则): 

 Chain INPUT (policy DROP 223 packets, 9229 bytes) pkts bytes target prot opt in out source destination 88 3768 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 18 1602 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW

也许这些应该被调查?

为了完全摆脱这种混乱,我build议使用防火墙生成器 ,一个优秀的基于GUI的多防火墙devise器。 您可以在任何地方devise防火墙,并将其放在哪里,fwbuilder甚至可以将防火墙推送到远程主机。

我会考虑使用防火墙生成器来生成您的防火墙。 像Shorewall这样的logging良好,并有一些很好的示例configuration可以使您的生活更轻松。 快速检查三个接口(区域)configuration可能是一个很好的起点。 shorewall的关键文件是区域,接口,主机,策略和规则。 有许多macros按名称而不是端口生成注释规则。

通常情况下,你的state RELATED,ESTABLISHED规则将在列表的顶部。 对不同的stream量使用单独的链可能有助于了解正在发生的事情。

似乎只有两个地址有80端口的开放访问,这将解释您的浏览问题。 一个应该是内容filter。 另一个可能是您绕过内容filter时可以浏览的地址。