PROBLEMA DO CÓDIGO IPTABLES

Question

PROBLEMA DO CÓDIGO IPTABLES

#1 resposta do (2 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

0

Estou usando o iptables para bloquear todas as portas. No entanto, para permitir o ping www.google.com, estou usando o seguinte código

filter -A INPUT -p tcp --dport 53 -j ACCEPT
filter -A OUTPUT -p tcp --sport 53  -j ACCEPT
filter -A INPUT -p udp --dport 53 -j ACCEPT
filter -A OUTPUT -p udp --sport 53 -j ACCEPT

Isso funciona bem, mas salvá-lo me dá erro porque usar o filtro no início não é o caminho certo. No entanto, quando uso o código sem filtro de palavras, o ping para www.google.com não funciona. PS Estou salvando diretamente para arquivos iptables em / etc / sysconfig

Edit: Ok, parece que o filtro quebrou todo o código e o iptables estava apagando todas as regras. O problema é que não consigo fazer o ping em www.google.com apesar de abrir minha porta DNS.

dns iptables

por user2976690 10.12.2017 / 19:36

3 respostas

Tags dns iptables

iwlwifi luz piscando no Debian 8 Faça login no Mysql sem startx

score 2 · Answer 1

O utilitário ping usa ICMP (protocolo de controle de mensagens da Internet) , não UDP (User Datagram Protocol) ou TCP (Protocolo de Controle de Transmissão) . Para permitir solicitações ping de saída através de seu firewall, você pode adicionar uma regra como a seguinte:

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ALLOW

Você provavelmente também deseja adicionar uma regra como a seguinte para permitir o tráfego de retorno:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

score 0 · Answer 2

A ordenação das regras do iptables é importante: a regra de correspondência primeiro com -j ACCEPT , -j DROP ou -j REJECT decidirá o destino do pacote. Adicionar novas regras depois de uma regra "soltar tudo" não terá efeito, pois os pacotes correspondentes nunca atingiriam essa regra.

score 0 · Answer 3

Ok, as regras corretas foram essas. Consegui-lo de um problema do fórum resolvido.

-A INPUT -p udp --sport 53 -j ACCEPT
-A INPUT -p udp --dport 53 -j ACCEPT
-A OUTPUT -p udp --sport 53 -j ACCEPT
-A OUTPUT -p udp --dport 53 -j ACCEPT