我想在一个节点内的iptables上制定一套规则,但似乎iptables并没有追加所有的规则或以某种方式,每当我运行下面的脚本踢我(我使用这套规则其他服务器和工作正常):
# Allow connections that are already connected to your server iptables -A INPUT -i venet0 -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow connections to SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT # Allowing connections to HTTP/HTTPS iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT # Allow icmp input but limit it to 10/sec iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT # Allow all incoming traffic from local iptables -A INPUT -i lo -j ACCEPT # Changing the default policy for INPUT chain iptables -A INPUT -j DROP 我发现的问题(我猜)是最后一行(DROP)被解释为一个,这就是为什么服务器踢我。
我已经改变了vz的conf:
IPTABLES_MODULES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state xt_state ip_conntrack"
任何帮助,这是preprecciated。
谢谢。
我已经看到更多OpenVZ的问题,并使用“ESTABLISHED,RELATED”。 遗憾的是,我一直无法find如何修复由于某种原因不允许在容器中使用有状态iptables的OpenVZ安装。
但是用你合理的简单的IPTable规则,你真的需要它们是有状态的吗? 我认为以下将同样有效:
# Allow connections to SSH iptables -A INPUT -p tcp --dport 22 -j ACCEPT # Allowing connections to HTTP/HTTPS iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # Allow icmp input but limit it to 10/sec iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT # Allow all incoming traffic from local iptables -A INPUT -i lo -j ACCEPT # Changing the default policy for INPUT chain iptables -A INPUT -j DROP