Tham gia Đăng nhập
Điểm:0
avatar Server

Không thể tạo kết nối ra bên ngoài với iptables được đặt để cho phép tất cả

lá cờ ba
mike

Cả đời tôi không thể hiểu tại sao DROP lại bị ảnh hưởng bởi các yêu cầu gửi đi bắt nguồn từ VPS dựa trên openvz của tôi.

Tôi biết nó phải là một cái gì đó với cách gói không được gửi trực tiếp ra ngoài, hoặc một cái gì đó, và tôi dường như đang thiếu một số điều cơ bản ở đây. Tôi đã thử nhiều cách khác nhau và cách duy nhất tôi có thể làm cho nó hoạt động trở lại là xóa các quy tắc (iptables -F)

Mục tiêu là chặn tất cả lưu lượng truy cập đến, ngoại trừ từ một IP (1.2.3.4) và cổng 53/113 cho mọi người, đồng thời cho phép tất cả lưu lượng gửi đi.

Đây là đầu ra của iptables -L -n -v - Tôi có thể thấy số lượng gói DROP tăng lên khi tôi cố gắng cuộn ra bên ngoài. (IP được sửa đổi một chút để bảo mật)

Chuỗi INPUT (chính sách CHẤP NHẬN 0 gói, 0 byte)
 pkts byte đích prot chọn không tham gia đích nguồn         
  239 17668 CHẤP NHẬN tất cả -- * * 1.2.3.4 0.0.0.0/0           
  118 11175 CHẤP NHẬN udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53
    3 174 CHẤP NHẬN udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
   17 1176 CHẤP NHẬN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
    0 0 CHẤP NHẬN tất cả -- lo * 0.0.0.0/0 0.0.0.0/0           
 2238 119K THẢ tất cả -- * * 0.0.0.0/0 0.0.0.0/0           

Chuỗi FORWARD (chính sách CHẤP NHẬN 0 gói, 0 byte)
 pkts byte đích prot chọn không tham gia đích nguồn         

ĐẦU RA chuỗi (chính sách CHẤP NHẬN 0 gói, 0 byte)
 pkts byte đích prot chọn không tham gia đích nguồn         
  889 56648 CHẤP NHẬN tất cả -- * * 0.0.0.0/0 0.0.0.0/0

đây là từ iptables-save (IP được sửa đổi một chút để bảo mật)

# Được tạo bởi iptables-save v1.8.4 vào Thứ Năm ngày 2 tháng 12 02:42:40 năm 2021
*lọc
:INPUT CHẤP NHẬN [0:0]
:CHẤP NHẬN VỀ PHÍA TRƯỚC [0:0]
:CHẤP NHẬN ĐẦU RA [0:0]
-A INPUT -s 1.2.3.4/32 -j CHẤP NHẬN
-A INPUT -p udp -m udp --sport 53 -j CHẤP NHẬN
-A INPUT -p udp -m udp --dport 53 -j CHẤP NHẬN
-A INPUT -p tcp -m tcp --dport 113 -j CHẤP NHẬN
-A INPUT -i lo -j CHẤP NHẬN
-A INPUT -j DROP
-A ĐẦU RA -j CHẤP NHẬN
LÀM
# Hoàn thành ngày Thu 2 02:42:40 2021

đây là các giao diện (IP được sửa đổi một chút để bảo mật)

venet0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP> mtu 1500
        inet 127.0.0.1 netmask 255.255.255.255 phát 0.0.0.0 đích 127.0.0.1
        inet6 2a00:d880:3:1::ad49:a3f2 tiền tốlen 128 phạm vi 0x0<toàn cầu>
        inet6 2a00:d880:3:1::a639:a610 tiền tốlen 128 phạm vi 0x0<toàn cầu>

venet0:0: flags=211<UP,BROADCAST,POINTOPOINT,RUNNING,NOARP> mtu 1500
        inet 81.1.1.1 netmask 255.255.255.255 phát sóng 81.1.1.1 đích 81.1.1.1
57
0 + 0
Điểm:0
Nikita Kipriyanov avatar Server
lá cờ za
Nikita Kipriyanov

Của bạn ĐẦU VÀO chuỗi từ chối các câu trả lời dự kiến ​​​​hợp lệ cho các gói gửi đi. Để cho phép họ:

iptables -I INPUT 1 -m conntrack --ctstate ĐÃ THÀNH LẬP, LIÊN QUAN -j CHẤP NHẬN

Nó sẽ phát hiện xem gói có phải là phần tiếp theo của một số kết nối trước đó hay không (ví dụ: phản hồi cho một số gói gửi đi) và cho phép nó.

Ngoài ra, tôi đề nghị thay đổi ĐẦU VÀO chính sách để RƠI VÃI. Quá trình xử lý sẽ không thay đổi (bạn không bị ràng buộc RƠI VÃI trong bộ quy tắc), nhưng ý định sẽ rõ ràng.

iptables -P INPUT DROP
0 + 0
lá cờ ba
mike
vì vậy, vấn đề tại sao tôi không có một số -m bổ sung đó là vì tôi nhận được "iptables: Không có chuỗi/mục tiêu/khớp với tên đó." nó đang chạy một kernel đầy đủ, có vẻ như vậy (vì vậy tôi cho rằng tất cả các mô-đun đều ở đó) `Linux foo 5.4.0 #1 SMP Thứ năm ngày 27 tháng 6 15:10:55 MSK 2019 x86_64 x86_64 x86_64 GNU/Linux` tuy nhiên tôi đang ở trong một openvz khách.
0
Hồi đáp
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
Điều đó thật kỳ lạ. Cài đặt của bạn đã hoàn tất chưa? Thay vào đó, hãy thử `-m state --state ESTABLISHED,RELATED` (tuy nhiên, đó là phương pháp *lỗi thời* để thực hiện việc này và trong nhân 5.x, nó chắc chắn được triển khai nội bộ thông qua mô-đun conntrack).
0
Hồi đáp
lá cờ ba
mike
đã không giúp đỡ. nó dường như tập trung vào nhân của máy chủ (tôi thậm chí còn chưa cài đặt cái nào trong máy khách. Tôi đã cài đặt một cái, nhưng nó dường như không khởi động được, có lẽ là do openvz...) Tôi tự hỏi liệu đó có phải là thứ gì đó không ở cấp độ máy chủ, chẳng hạn như nếu nhân máy chủ đã bật tính năng này. Tôi có thể kiểm soát các gói ở cấp độ của mình nhưng dường như không thể truy cập vào các mô-đun conntrack hoặc trạng thái.
0
Hồi đáp
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
Bạn phải biết trước tất cả lưu lượng truy cập có thể và cho phép lưu lượng truy cập đó ở trạng thái tĩnh hoặc sử dụng tường lửa có trạng thái để phát hiện ra lưu lượng đó một cách linh hoạt. "Kích hoạt các kết nối gửi đến đã chọn và tất cả các kết nối gửi đi có thể có" yêu cầu tường lửa có trạng thái, vì vậy có vẻ như điều bạn đang yêu cầu là không thể. Cơ hội cuối cùng của bạn là yêu cầu nhà cung cấp dịch vụ lưu trữ tải các mô-đun cần thiết cho bạn. // P.S openvz? Vào cuối năm 2021? Nghiêm túc?
0
Hồi đáp
lá cờ ba
mike
nó đang sử dụng ramnode... có rất nhiều nhà cung cấp VPS giá rẻ "cấp thấp" vẫn đang sử dụng nó.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.