Eu tentei adicionar algumas portas web ao iptables e, ao fazê-lo, perdi a capacidade de resolver qualquer endereço externo. Eu tenho uma sessão SSH em funcionamento aberta e posso chegar à caixa facilmente, se necessário.
Aqui está a configuração atual do iptables:
[usuário @ boxen] # iptables --números -line -n -L
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 /* 100 allow http and https access */ state NEW
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport ports 22 /* 100 ssh 22 */
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
e cat / etc / sysconfig / iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1:196]
-A INPUT -p tcp -m multiport --dports 80,443 -m comment --comment "100 allow http and https access" -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m multiport --ports 22 -m comment --comment "100 ssh 22" -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Wed Sep 25 14:20:02 2013
Não consigo fazer ping no gateway nem em mais nada. Eu sou capaz de pingar o gateway em outra caixa no mesmo rack. Eu era capaz de fazer ping de gateway antes da minha atualização iptables fracassada.
O que há de errado com essa configuração?
Bem, você eliminou todo o tráfego de entrada que não é:
Provavelmente, você pretendia ter uma regra nos seguintes termos:
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Neste exato momento, suas respostas de DNS (geralmente a porta de origem UDP 53) estão sendo descartadas. Como são suas respostas de eco do ICMP (respostas de ping).
Tags iptables