Tham gia Đăng nhập
Điểm:0
lion_bash avatar Server

Kết nối cuộn tròn quy tắc Iptables DNAT bị từ chối

lá cờ us
lion_bash

Sau khi thêm quy tắc DNAT sau, tôi bị từ chối kết nối khi cố gắng cuộn tròn 172.17.1.1:9000/v1/api:

iptables -t nat -I PREROUTING -p tcp --dst 172.17.1.1 --dport 9000 -j DNAT --to-destination 172.12.11.11:8000

tôi đã đọc cái này bài và cái này post và có vẻ như đối với curl, chúng ta cần thêm quy tắc OUTPUT cho vòng lặp? Nhưng làm thế nào để chúng ta làm điều này cho các quy tắc DNAT?

Tôi có các quy tắc sau:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j CHẤP NHẬN
iptables -A OUTPUT -o lo -j CHẤP NHẬN
34
0 + 0
Zhivko Zhelev avatar
lá cờ ng
Zhivko Zhelev
bạn có tường lửa khác như ufw không? hãy thử cái này ```iptables -P OUTPUT ACCEPT```
0
Hồi đáp
lion_bash avatar
lá cờ us
lion_bash
Có, tôi đã áp dụng một số quy tắc trước đó, quy tắc tường lửa được đặt để từ chối tất cả lưu lượng truy cập và chúng tôi cho phép lưu lượng truy cập một cách rõ ràng. Đã cập nhật bài đăng.
0
Hồi đáp
lion_bash avatar
lá cờ us
lion_bash
@ZhivkoZhelev Vì vậy, tôi đã thử thêm quy tắc `iptables -P OUTPUT ACCEPT` nhưng vẫn không hoạt động.Điều tôi nhận thấy là ban đầu, yêu cầu ngay lập tức nhận được thông báo lỗi từ chối kết nối khi tôi cuộn tròn. Tuy nhiên, sau khi thêm quy tắc đầu ra sau `iptables -t nat -I OUTPUT -p tcp --dst 172.17.1.1 --dport 9000 -j DNAT --to-destination 172.12.11.11:8000` nó sẽ không trả về ngay lỗi, nhưng hiện tại nó bị treo ở `đang thử 172.17.1.1 ...`. Khi tôi cuộn trực tiếp `172.12.11.11:8000` thì nó cũng hoạt động tốt.
0
Hồi đáp
Zhivko Zhelev avatar
lá cờ ng
Zhivko Zhelev
iptables cũng sử dụng quy ước thứ tự, vì vậy hãy thử xóa quy tắc cho phép ngay bây giờ và đặt nó trước quy tắc chuyển hướng bằng cách sử dụng ```--set-counters x``` x là số thứ tự
0
Hồi đáp
lion_bash avatar
lá cờ us
lion_bash
Hiểu rằng đó là lý do tại sao tôi đã sử dụng `-I` để chèn, điều đó sẽ chèn quy tắc tường lửa lên trên cùng và cho phép quy tắc này bị tấn công trước phải không? Bạn muốn xóa quy tắc Cho phép nào `iptables -P OUTPUT ACCEPT` quy tắc này?
0
Hồi đáp
Zhivko Zhelev avatar
lá cờ ng
Zhivko Zhelev
Tôi cho rằng nếu bạn loại bỏ 3 quy tắc loại bỏ này, yêu cầu của bạn sẽ hoạt động, nhưng trước tiên nó cần được chấp nhận và tôi thấy bạn chỉ chấp nhận trên giao diện loopback. Vì vậy, đề xuất của tôi là cố gắng sắp xếp chúng đúng cách và đặt quy tắc chấp nhận và chuyển hướng ở vị trí cao hơn.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.