Por que essa regra do iptables bloqueia meu servidor da web?

Navegue suas respostas
1

Eu estava configurando o Mathematica em um servidor remoto e precisava de acesso à interface do usuário. Eu configurei o VNC de acordo com o link , e consegui fazê-lo funcionar, o que envolveu uma alteração no iptables. Cerca de três minutos depois, meu telefone começou a zumbir. Fiquei horrorizado ao ver isso:

Estas são as linhas que eu adicionei ao / etc / sysconfig / iptables: 

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -m multiport --dports 5901:5903,6001:6003 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Estou ciente das várias coisas erradas com o que fiz:

  1. Alterou um sistema ativo. Para ser justo, é o que eu tinha o Mathematica instalado, e só posso colocar isso em um sistema de acordo com os termos de uso.

  2. Alterou um sistema ativo.

  3. Alterou um sistema ativo.

  4. Não sabia o que estava fazendo

Então, minha pergunta é; que parte desta foi a parte que bloqueou o acesso ao servidor da Web e, presumivelmente, outras portas também?

    
por Austin Burk 20.11.2014 / 22:21

3 respostas

1

Uma linha que começa com dois pontos e um nome de regra, como :INPUT ACCEPT [0:0] , redefine a cadeia correspondente: quaisquer regras anteriores são liberadas. Se você quiser adicionar regras, adicione -A INPUT … lines. Deve haver uma única linha :CHAIN para cada cadeia em /etc/sysconfig/iptables , antes de qualquer outra regra que faça referência a essa cadeia. Assim, quaisquer regras já existentes foram efetivamente ignoradas devido ao código que você anexou.

É sempre arriscado manipular o firewall em uma máquina remota. Se você realmente precisa fazer isso, aqui estão algumas dicas para minimizar o risco.

  • Execute iptables comandos interativamente até que esteja satisfeito; não edite o arquivo de configuração sem ter feito um amplo teste.
  • Use a tela ou o tmux. Quando você joga com regras de firewall, é provável que você seja desconectado.
  • Antes de fazer qualquer alteração, ative o comando sleep 60 && iptables-restore </etc/sysconfig/iptables em uma janela de tela / tmux. Dessa forma, após um minuto, as configurações padrão serão reaplicadas. Se a sua mudança for bem, volte para aquela janela e cancele com Ctrl + C .
por 21.11.2014 / 01:55
1

Descobri o que aconteceu - a nova regra anulou todas as regras anteriores, deixando apenas as portas SSH e VNC abertas. Eu adicionei as regras VNC para a configuração anterior no arquivo. Resolvido!

    
por 20.11.2014 / 22:40
0

Eu acredito que o protocolo icmp é usado principalmente para ping e não proíbe a conexão vnc. Verifique se alguma porta do servidor web atribuída não está aberta no iptables.

    
por 20.11.2014 / 22:32

Tags

Instalação do Pacemaker Corosync no servidor RHEL 6.6 O que é o equvalente 'apt-get' do 'aptitude keep-all'?