Minha política padrão em INPUT está definida como DROP .
No entanto, devido a essa configuração, não consigo me conectar a um host de correspondência externo. Qual regra eu precisaria para habilitar a conexão com este host externo?
Observe que ping também não funciona, embora isso seja apenas para fins de teste (não precisa funcionar, mas pode ajudar a encontrar o problema raiz). \
Editar
[root@webshop ~]# iptables -L -v -n
Chain INPUT (policy DROP 150 packets, 18963 bytes)
pkts bytes target prot opt in out source destination
378K 178M ACCEPT all -- * * xxxxxxxxxxxxx 0.0.0.0/0
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:56988 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:56988
628 42832 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 8080,8181
7682 765K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 8080,8181
Chain OUTPUT (policy ACCEPT 933 packets, 616K bytes)
pkts bytes target prot opt in out source destination
A comunicação vai em duas direções, você envia consultas para outro host (via OUTPUT) e o outro host responde (para INPUT). Suas regras atuais fazem com que todas as respostas sejam descartadas. Experimente adicionar a seguinte regra para aceitar essas respostas:
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
Sem essa regra, os pacotes TCP ACK, a resposta de eco ICMP etc. são descartados porque você não tem regras que os permitam.
Tags iptables