iptable conexões de host local relatadas como bloqueadas, mas funcionam ok

2

Estou usando o fwbuilder e tentei configurar regras que permitam lo interface e source ip 127.0.0.1 , como segue:

$IPTABLES -A INPUT -i lo   -m state --state NEW  -j ACCEPT
$IPTABLES -A OUTPUT -o lo   -m state --state NEW  -j ACCEPT

...

$IPTABLES -A INPUT  -s 127.0.0.1   -m state --state NEW  -j ACCEPT
$IPTABLES -A OUTPUT  -s 127.0.0.1   -m state --state NEW  -j ACCEPT

A conexão parece funcionar bem, mas por que vejo vários desses erros em /var/log/syslog ??

RULE 4 -- DENY IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=43254 DF PROTO=TCP SPT=47654 DPT=4949 WINDOW=256 RES=0x00 ACK PSH FIN URGP=0

UPDATE : saída de iptables -L -v

    
por Yoav Aner 22.12.2012 / 14:38

3 respostas

0

Você pode mostrar todas as suas regras? Para resolver seu problema, basta criar regras:

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
    
por 22.12.2012 / 16:07
0

Você está permitindo apenas -m state --state NEW . Supondo que você também tenha uma regra RELATED, ESTABLISHED em algum lugar, você verá alguns pacotes negados como acima, com ACK PSH FIN ou alguns outros sinalizadores não-novos que o rastreador de estado do kernel não reconhece como parte de uma conexão estabelecida ou relacionada . Geralmente isso acontece logo após você reiniciar o iptables e recarregar os módulos de rastreamento de conexão.

    
por 22.12.2012 / 15:08
0

Você nega os pacotes INVALID e UNTRACKED na sua interface de loopback.
Isso pode causar pacotes icmp, entre outros, descartados.

Confira link and man iptables

    
por 22.12.2012 / 15:12