这是一个创建于 3353 天前的主题,其中的信息可能已经有所发展或是发生改变。
最后一句 iptables -A INPUT -j REJECT 能把之前的规则都否定掉,无论你打开了哪个端口,除了正在连接的 22 不受影响,apt-get 都无法使用
同样的规则贴到 Debian 上却没什么问题。
同样的规则贴到 Debian 上却没什么问题。
 |
1
jimzhong 2015-09-17 13:22:30 +08:00
是不是要在之前加这么一句, iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 。
|
 |
2
wezzard 2015-09-17 13:30:02 +08:00
重啓系統可以讓所有未被保存的規則都幹掉。
|
 |
4
suckMyballs 2015-09-17 14:23:30 +08:00
/etc/init.d/iptables stop
|
 |
5
nekoyaki 2015-09-17 19:17:37 +08:00
@suckMyballs ubuntu 不能这么干,它不像 centos , ubuntu 的 /etc/init.d/下没有 iptables 这个脚本。
PO 主你执行 iptables -F 试一下,清空所有 iptables 规则。 |
|
6
nekoyaki 2015-09-17 19:18:18 +08:00
另外我觉得 PO 主最好贴一下到底是怎样的规则……
|
 |
7
wgjak47 2015-09-17 19:46:57 +08:00
如果 iptables -A INPUT -j REJECT 能把前面的规则都否定掉,那没有理由 22 还会开放啊。所以还是把 iptables -L 的结果贴出来看看。
|
 |
8
Nin OP @nekoyaki
@wgjak47 -A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -j REJECT --reject-with icmp-port-unreachable -A FORWARD -j ACCEPT -A OUTPUT -j ACCEPT 很简单的规则 |
|
11
nekoyaki 2015-09-17 22:03:19 +08:00
规则看不出来啥问题。仔细看了一下你的问题描述,你说的是 aptget 无法用,那估计是出站包不通,你看看是不是网关或者 IP 配置得不对。
|
 |
12
adrianzhang 2015-09-17 22:08:16 +08:00
dns 被屏蔽了, apt-get 得不到解析。
|
 |
13
izoabr 2015-09-17 22:32:36 +08:00
多了个 chain
fail2ban-ssh |
 |
14
wzxjohn 2015-09-17 22:51:32 +08:00
|
|
15
Nin OP @wzxjohn
第一条是本地回环 我比较奇怪的是同样的规则在 Debian 上无任何问题还有就是 linode 的 Ubuntu 也没问题 看检测了下日志, 443 端口正常有数据接收但到了最后一条 REJECT 那又被丢弃了。。。 |
 |
17
batilo 2015-12-11 09:29:50 +08:00
目前我也遇到了这个问题,楼主所说的 apt-get 无法使用是因为机器无法访问外网。
1. 如果 INPUT 默认策略为 DROP ,则所有 OUTPUT 规则失效 2. 如果添加一条 DROP 或者 REJECT 规则在 INPUT 最后,则 OUTPUT 规则失效 |
|
18
batilo 2015-12-11 16:03:49 +08:00
好像找到问题所在了, 楼主你是不是和我一样也是开启了锐速这个东西?
我在关闭锐速之后, iptables 规则就能够正常使用。 通过 Google 找到了这样一篇文章: http://www.cnblogs.com/guangshan/p/4837552.html |
Select Language