iptables problema

Question

iptables problema

#1 resposta do Lekensteyn (1 votos)
#2 resposta do jippie (0 votos)

0

Oi pessoal eu tenho o seguinte arquivo iptables para o meu servidor Ubuntu 12.04. É um pouco confuso porque eu tentei diferentes maneiras de consertá-lo, mas o problema é que ele não permite que os comandos apt como o apt-get para executar. Ele mostra a conexão com archive.ubuntu.com e a conexão expira. Eu acho que tem algo a ver com as regras de saída, mas não tenho certeza. O mesmo problema exato apareceu com o uso do UFW também. Você pode, por favor, me aconselhar sobre como consertar / melhorar minha estrutura do iptables ou talvez uma correção para o UFW funcionar. Obrigado!

ATUALIZADO ::


 Completed on Mon May 14 23:09:19 2012
# Generated by iptables-save v1.4.12 on Mon May 14 23:09:19 2012
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied" --log-level 7
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT
# Completed on Mon May 14 23:09:19 2012

por feribg 14.05.2012 / 20:35

2 respostas

Como remover o lesstif e instalar o Open Motif? Suspender matou meu laptop (não pode retomar, não pode reiniciar, sem tela da BIOS)

score 1 · Answer 1

Você tem regras redundantes, todas as regras OUTPUT ( A OUTPUT ) são redundantes devido à regra -A OUTPUT -j ACCEPT ("aceitar todo o tráfego de saída"). Essa regra em si é desnecessária se você definir a política de OUTPUT como ACCEPT em vez de DROP ("aceitar todo o tráfego de saída se nenhuma correspondência de regra" vs "ignorar / soltar todo o tráfego de saída se nenhuma correspondência de regra"). Para definir a política, use:

:OUTPUT ACCEPT

(os contadores não são necessários e foram removidos também). Como sua cadeia OUTPUT está bem, dê uma olhada na sua cadeia de entrada. Não vejo problemas óbvios, a linha que permite conexões TCP existentes (incluindo pacotes handshake) e respostas DNS estão presentes:

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Como um auxílio de depuração, sugiro que você use o sinalizador -v ( --verbose ) para contadores de correspondência de regra. Meu favorito para ter estatísticas, atualizadas a cada segundo:

sudo watch -n1 iptables -vnL

Pode ser um problema que não esteja relacionado ao iptables. Talvez suas tabelas de roteamento estejam erradas, os servidores DNS são inválidos ou os roteadores upstream bloqueiam seu tráfego.

Relacionados:

Quais regras de INPUT eu preciso adicionar ao iptables para que o apt (apt-get, aptitude) possa funcionar (atualizar, atualizar, pesquisar , instalar)?

score 0 · Answer 2

Acho que a maneira mais fácil de descobrir isso é liberar todas as regras e adicioná-las novamente uma por uma até que pare de funcionar. Lembre-se de que, se você estiver fazendo isso a partir de um controle remoto, a política DROP padrão poderá desconectá-lo quando você esvaziar cegamente / zerar todas as regras.