iptables -F me bloqueia fora do servidor até a reinicialização, por quê?

Navegue suas respostas
3

Estou tentando aplicar algumas regras de iptables e iptables -F deve remover as regras atuais (pelo que entendi), mas em vez disso ele parece congelar minha conexão SSH e não me restabelecer até que eu alterne.

Eu passo por estas etapas:

1. Aplicar regras de iptables: 

# Delete all existing rules
iptables -F

# Set default chain policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# MultiPorts (Allow incoming SSH, HTTP and phpMyAdmin)
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,2222 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,2222 -m state --state ESTABLISHED -j ACCEPT

# Allow loopback access
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Allow outbound DNS
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

# derp
iptables -A OUTPUT -o eth0 -p tcp -m multiport --dport 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m multiport --sport 80,443 -m state --state ESTABLISHED -j ACCEPT

# Outgoing Sendmail
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

# DNS server
iptables -A INPUT -p udp -s 0/0 --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --sport 53 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -d 0/0 --dport 53 -m state --state ESTABLISHED -j ACCEPT

# Allow DNS zone transfer
iptables -A INPUT -p tcp --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

# Prevent DoS attack
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

# Log dropped packets
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7
iptables -A LOGGING -j DROP

2. Tente redefinir com iptables -F

3. Seja bloqueado

O que estou fazendo de errado?

    
por Kit Sunde 11.08.2014 / 13:54

2 respostas

16

Suas políticas estão em DROP e -F apenas limpa as cadeias, não altera as políticas. iptables -F && iptables -X deve fazer o truque.

    
por 11.08.2014 / 13:56
1

Como ele disse ... iptables -F cai. Você nunca adicionou novas regras. Para apenas ativar o ssh, seria:

iptables -A INPUT -p tcp --dportar 22 -j ACEITAR serviço iptables salvar

Isso permitiria pelo menos o acesso ssh. Eu recomendo que você leia o seguinte artigo sobre o gerenciamento fácil do iptables ... É para o Debian não ter certeza do que você está usando, mas é o mesmo de qualquer forma.

Assim como este artigo, eu também gerencio o meu através de um arquivo /etc/iptables.up.rules, assim posso fazer alterações no arquivo e importá-las para o iptables a partir dali.

link

    
por 11.08.2014 / 23:00

Tags

Executa um scp automatizado em um servidor Windows Usando o Crontab para tar um diretório em um intervalo regular