Eu tenho o iptables em execução e as regras mais recentes aplicadas (por exemplo, reiniciei o serviço e ele diz que tudo está "OK").
Eu usei apenas o system-config-firewall para editar / definir quaisquer regras, por isso não deveria ter um erro criado manualmente. Se eu puder evitá-lo, não quero editá-lo manualmente.
Eu pensei que tinha configurado para que minhas portas do Apache 80 e 443 estivessem abertas, mas não aquelas que o Tomcat está escutando (por exemplo, 8080 , 8443 ). No entanto, isso não é assim ... eu posso navegar para eles sem nenhum problema em qualquer máquina.
Por fim, quero que as portas do Tomcat sejam acessíveis, mas não entendo por que elas já estão. Eu esperava que precisaria explicitamente abri-los.
Além disso, antes de adicionar as regras para abri-las explicitamente, todas as minhas portas de e-mail também estavam acessíveis ( 110 , 143 , 587 , 993 , 995 ...) Novamente, Eu quero aqueles abertos, mas eu não entendo porque eles sempre foram?
Aqui está minha saída do iptables. Por que tudo parece estar aberto? Talvez seja porque não há regras de saída? Além disso, por que existem regras aparentemente duplicadas? O system-config-firewall não controla essas duplicatas? Como posso limpar isso? Apenas através de uma edição manual, suponho ...
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 2834 692K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 5 511 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
3 14 990 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
4 114 6717 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0
5 0 0 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
6 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
7 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
8 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
9 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
10 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:993
11 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:995
12 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
13 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
14 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
15 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:993
16 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:995
17 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110
18 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143
19 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:587
20 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:465
21 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
3 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
4 0 0 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0
5 0 0 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
6 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 3208 packets, 1537K bytes)
num pkts bytes target prot opt in out source destination
Veja a linha 3, 4 e 5 na cadeia INPUT - essas regras permitem que quaisquer pacotes para quaisquer portas que venham das interfaces eth0, eth1 e lo passem. O IPTables trabalha com a primeira regra de correspondência, então quando o pacote recebe a primeira regra que permite / nega, ela é aplicada. Você deve definir apenas regras para portas exatas e rejeitar qualquer outro tráfego.