RELATED
é útil para esse tipo de protocolo que precisa abrir uma nova conexão. É frequentemente usado, em combinação com ip_conntrack_ftp
para conexões FTP, dê uma olhada aqui sobre como funciona o ftp ativo .
Eu tentei ler muitos artigos na internet, mas nenhum deles é bem claro. Eu também sei que uma pergunta semelhante foi postada aqui antes, mas nenhuma delas explica minha situação. Mais cedo eu acabei perdendo 2-3 horas por causa disso.
Manual diz:
NEW -- meaning that the packet has started a new connection, or otherwise associated with a connection which has not seen packets in both directions, and
ESTABLISHED -- meaning that the packet is associated with a connection which has seen packets in both directions,
RELATED -- meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error.
Meus iptables no servidor se parecem com:
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
# Flush old rules
iptables -F
# Loopback
iptables -I INPUT 1 -i lo -j ACCEPT
# Allow responses from OUTPUT connection
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
# Apache
iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
Sempre que tento curl --verbose https://server_ip/
do meu PC, funciona perfeitamente. Mas quando eu tentei isso de dentro do servidor após o SSHing, ele sempre ficava em CLIENT HELLO
. Por que isso está acontecendo? Nota: curl --verbose http://server_ip/
(sem SSL) funcionou perfeitamente no PC local e no servidor.
Depois de executar iptables -A INPUT -m state --state RELATED -j ACCEPT
, também comecei a trabalhar de dentro do servidor. Mais uma vez, por que começou a funcionar?
Manual diz RELATED -- meaning that the packet is starting a new connection
. É um risco de segurança? Um cliente pode abrir uma conexão para uma porta diferente usando isso? Quando é útil?
RELATED
é útil para esse tipo de protocolo que precisa abrir uma nova conexão. É frequentemente usado, em combinação com ip_conntrack_ftp
para conexões FTP, dê uma olhada aqui sobre como funciona o ftp ativo .
Tags connection iptables firewall ubuntu