Конфигурация iptables

Я пытаюсь настроить iptables, форвардные правила работают нормально, но правила вывода создают проблемы.

Я не могу получить доступ к Интернету со стороны хостов без брандмауэра, ни сервер брандмауэра не может выполнить ping www.google.com. И хосты не могут пинговать на www.google.com тоже, пинг не работал с ip тоже.

Действие по умолчанию для ввода, вывода и перехода вперед.

Я открыл 80,443,53 (tcp и udp) и порты для Outlook.

Здесь мои правила вывода:

iptables -P OUTPUT DROP # Output iptables -A FORWARD -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -p udp --dport 53 -j ACCEPT # DNS iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT 

One Solution collect form web for “Конфигурация iptables”

Здесь, в вашей цепочке FORWARD, вы разрешаете некоторый исходящий трафик. Хотя он не может вернуться, вы должны использовать машину conntrack, чтобы разрешить это поведение в цепочке FORWARD для LAN-машин и в цепочке INPUT для маршрутизатора.

Вы также не разрешаете ICMP, поэтому пинг не может пройти.
Еще одна вещь: я бы указал интерфейс в цепочке FORWARD. Если вы этого не сделаете, ваши порты могут быть открыты, или машина может использоваться в качестве шлюза внешней машиной.

Давайте переписываем ваши правила соответственно (замените eth1 вашим LAN-интерфейсом):

 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # Forward - WAN to LAN iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # Forward - LAN to WAN iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -p icmp -j ACCEPT # Input iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # Output iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT 

Изменить: укажите eth1, как указано в комментариях.

  • «Невозможно разрешить имя хоста» - как очистить имя хоста без перезагрузки
  • как заставить интерфейс tun / tap войти в состояние RUNNING
  • Пробовал в папку mv, теперь проблема с поиском папки
  • Серый экран и курсор, отображающийся после входа в систему Ubuntu GNOME 14.04 и / boot / efi / empty
  • отслеживать записи дисков по каталогам
  • Как заставить DNSMasq обслуживать DNS для хостов Windows без домена?
  • Не могу понять, как вернуться к резервному файлу профиля
  • Не удается получить доступ к Интернету через OpenVPN
  • Настройки по умолчанию для Inkscape?
  • Доступ к Macintosh HD от Ubuntu - отказ от прав доступа
  • fcitx не может начать использовать
  • Linux и Unix - лучшая ОС в мире.