iptables에 몇 개의 웹 포트를 추가하려고 시도했지만 그렇게 하면 외부 주소를 확인하는 기능이 손실되었습니다. 작업 중인 SSH 세션이 열려 있고 필요한 경우 상자에 쉽게 액세스할 수 있습니다.
현재 iptables 구성은 다음과 같습니다.
[user@boxen]# iptables --line-numbers -n -L
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 /* 100 allow http and https access */ state NEW
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport ports 22 /* 100 ssh 22 */
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
그리고 고양이 /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1:196]
-A INPUT -p tcp -m multiport --dports 80,443 -m comment --comment "100 allow http and https access" -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m multiport --ports 22 -m comment --comment "100 ssh 22" -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Wed Sep 25 14:20:02 2013
게이트웨이 등을 핑할 수 없습니다. 동일한 랙에 있는 다른 상자의 게이트웨이에 ping을 보낼 수 있습니다. iptables 업데이트가 실패하기 전에 게이트웨이에 ping을 실행할 수 있었습니다.
이 구성에 문제가 있나요?
답변1
음, 다음과 같은 트래픽이 아닌 모든 수신 트래픽을 삭제했습니다.
- TCP 포트 80 또는 443
- TCP 포트 22
- 로컬호스트에서
아마도 다음과 같은 규칙을 만들려고 할 것입니다.
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
이제 DNS 응답(일반적으로 UDP 소스 포트 53)이 삭제됩니다. ICMP 에코 응답(핑 응답)도 마찬가지입니다.