permitir porta 3306

Question

permitir porta 3306

#1 resposta do (3 votos)
#2 resposta do (0 votos)

2

# /sbin/iptables -nvL

A saída do comando acima do iptables é algo como isto ...

 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       192.168.101.101      0.0.0.0/0           tcp dpt:3306 state NEW,RELATED,ESTABLISHED 
16810 1009K ACCEPT     tcp  --  *      *       192.168.101.120      0.0.0.0/0           tcp dpt:3306

Qual é a diferença entre essas duas linhas? O segundo IP não possui o "estado Novo, ...". Isso faz alguma diferença? O que estou tentando fazer é permitir o acesso do mysql desses IPs na porta padrão 3306

iptables

por shantanuo 20.04.2011 / 08:18

2 respostas

0

A diferença é o endereço IP de origem e os sinalizadores de estado, como você mencionou.

Quanto ao motivo pelo qual o seu primeiro IP não está se conectando ou não é capaz de se conectar, quando você usa o rastreamento de conexão no iptables, você normalmente tem uma regra como:

ACEITE TODO - EM QUALQUER LUGAR EM QUALQUER LUGAR ESTADO RELACIONADO, ESTABELECIDO

como o catchall.

A regra .101 seria apenas NOVA.

ACEITAR tcp - 192.168.101.101 em qualquer lugar estado tcp NOVO dpt: 306

por 20.04.2011 / 08:36

Tags iptables

Usando operadores lógicos no lighttpd.conf Vários rootdn em um servidor ldap

score 3 · Accepted Answer

Está relacionado com a correspondência -m state na regra iptables. Você pode usar iptables-save para ver a regra completa.

state NEW,RELATED,ESTABLISHED significa que somente esses três serão aceitos.

iptables (ou, mais precisamente, netfilter) conhece os seguintes estados:

NOVO - nova conexão
ESTABELECIDO - tráfego bidirecional detectado
RELACIONADO - tráfego relacionado à conexão original (por exemplo, resposta de ICMP relacionada a uma conexão TCP)
INVALID - o tráfego é inválido, por exemplo, um segmento TCP mal-intencionado foi recebido
UNTRACKED - o tráfego não é rastreado pelo módulo conntrack do netfilter

Quanto à sua pergunta: praticamente não há diferença entre as duas regras.