저는 iptables 전문가가 아니며 수정해야 할 두 가지 이상한 동작이 있습니다!

질문 1: 왜 차단되지 않았나요?

f2b-nginx-naxsi다음과 같은 iptable 규칙을 가진 사용자 정의 체인이 있습니다 .

$ sudo iptables -S f2b-nginx-naxsi
-N f2b-nginx-naxsi
-A f2b-nginx-naxsi -s 81.250.100.81/32 -j REJECT --reject-with icmp-port-unreachable #<== Here
-A f2b-nginx-naxsi -j RETURN

81.250.100.81내 공개 IP이므로 차단되어야 합니다.

작동하지 않습니다. 규칙이 잘못되었습니다!

체인에서 체인을 로드하는 방법은 INPUT다음과 같습니다.

sudo iptables -S INPUT
-P INPUT ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j f2b-nginx-naxsi    #<== Here
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES_SOURCE
-A INPUT -j INPUT_ZONES
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited

질문 2: :80 대신 SSH를 사용하는 것이 차단되는 이유는 무엇입니까?

수리하기 위해질문 1나는 이전 규칙을 가져와 INPUT체인 내부에 설정했습니다.
-I INPUT -s 81.250.100.81/32 -j REJECT --reject-with icmp-port-unreachable

Enter를 누른 후 기계 연결이 끊어졌습니다. 하하.
하지만 어떤 이유에서인지 브라우저에서 nginx를 계속 ping할 수 있습니다.
SSH(22)는 종료되지만 표준 http 연결(80)은 종료되지 않는 이유는 무엇입니까?

미리 감사드립니다.
;-)