Что не так в моих IPtables-правилах?
Я плохо знаком с Linux, с помощью Ubuntu 16.10 в качестве рабочего стола, но с сервером Minecraft для избранной суммы IP. И ssh только для моей страны. Теперь я даже не получаю к добавлению их определенный IP для сервера Minecraft. Я пытаюсь установить таблицы IP со стандартными политиками 'ОТБРАСЫВАНИЕ', но когда я установил ВЫВОД 'ОТБРАСЫВАНИЕ', я не могу больше просматривать Интернет. Что я должен изменить?
# Generated by iptables-save v1.6.0 on Sat Feb 11 15:31:16 2017
*filter
# 1. Delete all existing rules
-F
# 2. Set default chain policies
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP
# 1. Allow outbound DNS
-A OUTPUT -p udp --dport 53 -j ACCEPT
-A INPUT -p udp --sport 53 -j ACCEPT
#2. loopback toestaan
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
#3. reeds geverifieerde connecties toestaan in afgekeurde droppen
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
#4. SSH toestaan, alleen uit Nederland
-A INPUT -p tcp -m tcp --dport 22 -m geoip --source-country NL -j ACCEPT #this country-part works
-A OUTPUT -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
#5. http en https outgoing toestaan
-A INPUT -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sat Feb 11 15:31:16 2017
1 ответ
Вы не можете просмотреть Интернет, потому что у Вас нет правила, которое позволяет его. Необходимо позволить исходящий трафик целевым портам 80 и 443:
-A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
Между прочим, Ваши внешние соединения SSH не ограничены просто Вашей собственной страной, потому что позже, после Вашей страны определенное правило, Вы позволяете ее во всяком случае.