centos 7 ip 在 reject 规则内，还一直能连服务器？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 2545 天前的主题，其中的信息可能已经有所发展或是发生改变。

困扰许久，一个 IP 一直在防火墙拒绝规则内，但是 netstat 状态却一直都是 ESTABLISHED

各位指点一下。

27 条回复 • 2017-11-28 12:13:14 +08:00

BOYPT

2017-11-26 20:09:37 +08:00

firewalld 太 tmd 复制，还是用 iptables 吧。

e9e499d78f

2017-11-26 20:10:52 +08:00

已经 established 的不受影响

Lentin

2017-11-26 21:10:29 +08:00

SSH 进程重启试试

P99LrYZVkZkg

2017-11-26 21:34:50 +08:00

@e9e499d78f 那防火墙还管啥用呢？我是发现异常然后自动加 reject 规则，目的就是想把异常踢出去。

P99LrYZVkZkg

2017-11-26 21:35:25 +08:00

@BOYPT Centos 默认 firewalld 了，我想试验一下。

e9e499d78f

2017-11-26 21:44:29 +08:00

@P99LrYZVkZkg #4 你需要 conntrack

kn007

2017-11-26 21:47:33 +08:00

用 iptables 解决，你 reject 或 drop 后，之前的连接就会 gg 了。
可能 firewalld 默认是对 new 进来的连接进行过滤吧，我上了 centos7，第一件就是禁用 firewalld，安装 iptables。

kn007

2017-11-26 21:51:01 +08:00

而且 firewalld 本身最终用的就是 iptables。

Love4Taylor

2017-11-26 21:56:48 +08:00

yum install -y iptables-services
systemctl stop firewalld
systemctl disable firewalld
systemctl enable iptables

firewalld 好烦的我才不要用~

hcymk2

2017-11-26 22:09:36 +08:00

firewalld 对初学者，而且不想了解 iptables 的人蛮友好的。

Havee

2017-11-26 22:12:29 +08:00

就算 firewalld，也应该上 ipset 呀

akira

2017-11-26 22:16:24 +08:00

一般防火墙会有一条，保持已建立的链接。你重启一下试试咯

P99LrYZVkZkg

2017-11-26 23:25:50 +08:00

@Love4Taylor 听你的建议，我换一个试试。

msg7086

2017-11-27 05:46:32 +08:00

Established 又不受防火墙影响。
你看这 TCP 连接就像一根绳子，你把门一关，绳子又不会断。只不过新的绳子连不进来了而已。

dorothyREN

2017-11-27 09:11:26 +08:00

用 iptables，reject 后直接断开链接。

P99LrYZVkZkg

2017-11-27 11:40:58 +08:00

@msg7086 形象

tempdban

2017-11-27 17:49:35 +08:00

1.input 链默认 Drop
2.iptables -S 查看是否有类似如下规则：
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
如果有请删掉。稍后再加回来

楼上几位说的都有一点点瑕疵，并不是说 Established 就不受防火墙影响，是因为有这条规则。
多说一句，iptables 其实就是个包过滤器。不设置规则是不会对 tcp 状态检测的。

tempdban

2017-11-27 17:57:34 +08:00

而且配置对该 ip 的报文 drop 掉的规则，例如：
-A INPUT -s 192.168.122.0/24 -i virbr0 -j DROP
可能并没有什么用。因为不加参数的话新添加的规则优先级是最低的。
走到这条规则（-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT ）
iptables 已经将报文放行了。

P99LrYZVkZkg

2017-11-27 19:21:26 +08:00

@tempdban 有这一条规则，请问这个规则怎么删除?
-Ｄ INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

－Ｄ就可以么？

P99LrYZVkZkg

2017-11-27 19:32:16 +08:00

@tempdban 感谢，这个防火墙每一条规则都要好好研究。iptables -S 是按照优先级排列的？

tempdban

2017-11-28 10:46:42 +08:00

@P99LrYZVkZkg 是的

P99LrYZVkZkg

2017-11-28 11:18:53 +08:00

@tempdban 那条规则删除了，ESTABLISHED 还是一直在。

P99LrYZVkZkg

2017-11-28 11:21:14 +08:00

@tempdban 是那条规则删除后，reload 又出来了。

tempdban

2017-11-28 12:03:44 +08:00

@P99LrYZVkZkg reload ？
你要先把 firewalld 关掉
这个东西会一直恢复策略的

tempdban

2017-11-28 12:05:39 +08:00

@P99LrYZVkZkg 这条是要临时删除的
或者把
-A INPUT -s 192.168.122.0/24 -i virbr0 -j DROP
插到 INPUT 链最上边

P99LrYZVkZkg

2017-11-28 12:11:38 +08:00

@tempdban 我添加的都是永久规则，不 reload 不生效。

但是 reload 后，我删掉的 ESTABLISHED 又回来了。

tempdban

2017-11-28 12:13:14 +08:00

@P99LrYZVkZkg ESTABLISHED 不要删掉。。。。我都说了稍后要加回来