iptables에 대한 혼란

iptables에 대한 혼란

최근에 wget포트 80을 통해 일부 패키지를 가져오려고 했습니다. iptable에 의해 차단됩니다( iptables서비스가 중지된 후 wget패키지를 다운로드할 수 있습니다). 누군가 내 iptable 규칙을 분석하는 데 도움을 줄 수 있나요?

192.168.0.0/16내 로컬 IP( , )에 대한 모든 포트를 연 것 같은데 10.0.0.0/8왜 차단됩니까?

내 컴퓨터의 IP는 입니다 192.168.1.168.

웹 서버를 준비하면 192.168.1.170그 서버에서 페이지를 다운로드할 수 있습니다 192.168.1.170.

table:filter
Chain INPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
2    ACCEPT     all  --  0.0.0.0/8            0.0.0.0/0           
3    ACCEPT     all  --  10.0.0.0/8           0.0.0.0/0           
4    ACCEPT     all  --  127.0.0.0/8          0.0.0.0/0           
5    ACCEPT     all  --  169.254.0.0/16       0.0.0.0/0           
6    ACCEPT     all  --  172.16.0.0/12        0.0.0.0/0           
7    ACCEPT     all  --  192.168.0.0/16       0.0.0.0/0           
8    ACCEPT     all  --  224.0.0.0/4          0.0.0.0/0           
9    ACCEPT     all  --  240.0.0.0/4          0.0.0.0/0           
10   ACCEPT     all  --  144.168.60.32        0.0.0.0/0           
11   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21701 state NEW,ESTABLISHED 
12   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21701 state ESTABLISHED 
13   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:26941 state ESTABLISHED 
14   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21713 state ESTABLISHED 
15   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21715 state ESTABLISHED 
16   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21714 state ESTABLISHED 
17   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80 state ESTABLISHED 
18   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW,ESTABLISHED 
19   ACCEPT     tcp  --  23.105.194.21       0.0.0.0/0           tcp spt:8170 state ESTABLISHED 
20   ACCEPT     udp  --  114.114.114.114      0.0.0.0/0           udp spt:53 dpts:1024:65535 
21   ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 
22   ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 11 
23   ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0 
24   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 state NEW,ESTABLISHED 
25   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:123 

Chain FORWARD (policy DROP)
num  target     prot opt source               destination         
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED 
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
4    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/8           
3    ACCEPT     all  --  0.0.0.0/0            10.0.0.0/8          
4    ACCEPT     all  --  0.0.0.0/0            127.0.0.0/8         
5    ACCEPT     all  --  0.0.0.0/0            169.254.0.0/16      
6    ACCEPT     all  --  0.0.0.0/0            172.16.0.0/12       
7    ACCEPT     all  --  0.0.0.0/0            192.168.0.0/16      
8    ACCEPT     all  --  0.0.0.0/0            208.0.0.0/4         
9    ACCEPT     all  --  0.0.0.0/0            240.0.0.0/4         
10   ACCEPT     all  --  0.0.0.0/0            144.168.60.32       
11   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21701 state ESTABLISHED 
12   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21701 state NEW,ESTABLISHED 
13   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:26941 state NEW,ESTABLISHED 
14   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21713 state NEW,ESTABLISHED 
15   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21715 state NEW,ESTABLISHED 
16   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21714 state NEW,ESTABLISHED 
17   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW,ESTABLISHED 
18   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:80 state ESTABLISHED 
19   ACCEPT     tcp  --  0.0.0.0/0            23.105.194.26      tcp dpt:8170 state NEW,ESTABLISHED 
20   ACCEPT     udp  --  0.0.0.0/0            114.114.114.114     udp spts:1024:65535 dpt:53 
21   ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8 
22   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:8080 state ESTABLISHED 
23   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:8080 state ESTABLISHED 
24   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:123 

table:nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 to:172.17.42.1:80 

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    MASQUERADE  all  --  172.17.0.0/16        0.0.0.0/0           
2    MASQUERADE  tcp  --  172.17.0.3           172.17.0.3          tcp dpt:80 
3    MASQUERADE  tcp  --  172.17.0.3           172.17.0.3          tcp dpt:22 
4    MASQUERADE  tcp  --  172.17.0.3           172.17.0.3          tcp dpt:21 

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

답변1

체인을 승인해야 하는데 이는 잘못된 것입니다.

Chain INPUT (policy DROP)

그런 다음 다른 모든 것을 차단하려면 마지막 규칙이 하나 필요합니다.

13740   717586 LOG        all  --  eth1   *       0.0.0.0/0            0.0.0.0/0            LOG flags 8 level 4 prefix "[iptables] A: "
13740   717586 REJECT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

개인적으로 전이나 LOG. 둘의 차이점은 답장을 보내는 것과 그냥 멈추는 것입니다. 나는 그것을 어떤 것들과 다른 것들에 사용합니다 ...DROPREJECTREJECTDROPDROPREJECT

대부분의 경우 FORWARD이는 LAN에 있는 로컬 컴퓨터가 인터넷 연결에 액세스할 수 있도록 하려는 경우에만 필요합니다. 그렇지 않으면 그 사람은 계속 머물 수 있습니다 DROP. 나는 작품을 입력하기 전에 어떤 출력 규칙도 정의하지 않습니다.

규칙을 검토하려면 다음을 권장합니다.

iptables -L -nvx | less -S

이것은 당신에게 카운트를 줄 것입니다. 이를 통해 패킷이 차단되는 위치를 확인할 수 있습니다. 귀하의 경우에는 다음 위치에 나타납니다 Chain INPUT.

Chain INPUT (policy DROP 10 packets, 1240 bytes)

답변2

제가 실수를. 왜 내 장치 이름이 eth0에서 eth1로 변경되었는지 모르겠습니다. 따라서 모든 규칙은 eth0에만 유효합니다.

@Alexis Wilke, 답장을 보내주셔서 감사합니다!

따라서 iptables에 관해 질문하는 사람은 "iptables -L" 대신 "iptables -L -v"를 붙여넣어야 합니다.

관련 정보