Como configurar o IPTables para permitir a porta TCP 599?

Navegue suas respostas
1

Sou novo no IPTables e acredito que estou ignorando algo óbvio.

Estas são as minhas configurações: 

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere             state NEW recent: UPDATE seconds: 60 hit_count: 12 name: DEFAULT side: source mask: 255.255.255.255
           all  --  anywhere             anywhere             state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     udp  --  anywhere             anywhere             udp dpt:isakmp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ipsec-nat-t
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  ip-10-10-10-0.ap-south-1.compute.internal/24  anywhere             policy match dir in pol ipsec proto esp
ACCEPT     all  --  anywhere             ip-10-10-10-0.ap-south-1.compute.internal/24  policy match dir out pol ipsec proto esp
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Então eu tentei abrir a porta 599: 

sudo iptables -A INPUT -p tcp --dport 599 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 599 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Infelizmente, meus IPTables existentes ainda o bloqueiam e não entendo o porquê. A verificação de integridade da AWS ainda não pode fazer um ping TCP na porta 599. Alguma pista do que estou sentindo falta?

Última atualização: 

sudo iptables -vnL --line-numbers



 Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1    11582  695K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:599 ctstate NEW,ESTABLISHED
2     309K   19M DROP       all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            state NEW recent: UPDATE seconds: 60 hit_count: 12 name: DEFAULT side: source mask: 255.255.255.255
3     6546  386K            all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255
4    11329 7186K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
5       24  1440 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:599 ctstate NEW,ESTABLISHED
6      246 13224 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
7        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
8       50  2227 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
9        2   400 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:500
10       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:4500
11    6275  371K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       10.10.10.0/24        0.0.0.0/0            policy match dir in pol ipsec proto 50
2        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            10.10.10.0/24        policy match dir out pol ipsec proto 50
3        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 18608 packets, 2153K bytes)
num   pkts bytes target     prot opt in     out     source               destination
    
por Houman 06.11.2017 / 18:36

1 resposta

1

Bem, iptables -A INPUT anexa uma regra ao final. Sua última regra atual é:

DROP all -- anywhere anywhere

Assim, é adicionado ao final, após a regra de descarte, e nunca é alcançado. Você desejará listar regras com números de linha:

iptables -nL --line-numbers

Em seguida, use iptables -I INPUT 5 ... (ou qualquer número de linha) para adicionar em uma posição específica.

Se todo o tráfego para a porta 599 deve ser permitido de volta (com NOVO, ESTABELECIDO), então você não deve precisar da regra OUTPUT.

Se isso estiver sendo executado em uma instância ec2, você deverá garantir que os grupos de segurança também permitam 599 entradas. Embora com grupos de segurança aws, o iptables nas instâncias individuais pode não ser necessário ...

    
por 06.11.2017 / 18:42

Tags

Existe um plugin de servidor ssh que permite interatividade? como associar o azure dns a uma VM linux em execução