iptables препятствует тому, чтобы я соединился
Я использую Ubuntu 18.04, и мои текущие правила iptables от этого вопроса; iptables -L дает:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain FORWARD (policy DROP)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
и с ними я не могу соединиться нигде. Я должен сбросить список и принять снова (с нуля) для восстановления возможности соединения. Почему они не работают?
1 ответ
Необходимо позволить локальный петлевой интерфейс:
sudo iptables -A INPUT -i lo -j ACCEPT
Иногда межпроцессные взаимодействия происходит по петлевому интерфейсу. См. здесь для получения дополнительной информации о петлевом интерфейсе.
РЕДАКТИРОВАНИЕ: Таким образом, у меня есть точно это на одном из моих тестовых компьютеров:
doug@s17:~$ sudo iptables -v -x -n -L
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
94 9843 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
5093 6056565 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
8 613 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT 3904 packets, 321224 bytes)
pkts bytes target prot opt in out source destination
Теперь, если я хотел получить дальнейшее понимание отклоненных пакетов, я мог бы также зарегистрировать их:
sudo iptables --insert INPUT 3 --jump LOG --log-prefix "INPUT-REJECT:" --log-level info
И затем (после того, как еще некоторые отклонения) смотрят/var/log/syslog:
Dec 12 14:18:42 s17 kernel: [2007598.577383] INPUT-REJECT:IN=ens5 OUT= MAC=ff:ff:ff:ff:ff:ff:00:21:9b:f9:21:26:08:00 SRC=192.168.111.101 DST=255.255.255.255 LEN=42 TOS=0x00 PREC=0x00 TTL=1 ID=4970 PROTO=UDP SPT=55705 DPT=3289 LEN=22
Dec 12 14:18:42 s17 kernel: [2007598.695347] INPUT-REJECT:IN=ens5 OUT= MAC=ff:ff:ff:ff:ff:ff:00:21:9b:f9:21:26:08:00 SRC=192.168.111.101 DST=255.255.255.255 LEN=42 TOS=0x00 PREC=0x00 TTL=1 ID=4971 PROTO=UDP SPT=55708 DPT=3289 LEN=22
Dec 12 14:18:43 s17 kernel: [2007599.014201] INPUT-REJECT:IN=ens5 OUT= MAC=ff:ff:ff:ff:ff:ff:00:21:9b:f9:21:26:08:00 SRC=192.168.111.101 DST=255.255.255.255 LEN=42 TOS=0x00 PREC=0x00 TTL=1 ID=4972 PROTO=UDP SPT=55712 DPT=3289 LEN=22
И я замечаю, что они - просто широковещательные пакеты от этого компьютера, на котором я ввожу теперь.