Ubuntu 18.04 LTS を実行している Hetzner-Cloud に新しくセットアップしたサーバーで問題が発生しています。
Iptables(-persistent) をインストールし、次のルールセットを構成した後:
root@inetsec:/home/linus# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere 1.2.3.4 tcp dpt:272
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
他のいくつかのポート (110、143、25、993) を使用して、Telnet で TCP ハンドシェイクを正常に実行できます。
それでも、このポートを担当するアプリケーション (Dovecot および Postfix) は実行されておらず、次のようにnetstat -tulpen表示されます。
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 112 20485 1198/mysqld
tcp 0 0 1.2.3.4:272 0.0.0.0:* LISTEN 0 18773 1047/sshd
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 101 19746 1113/systemd-resolv
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 111 19076 1004/named
udp 0 0 127.0.0.53:53 0.0.0.0:* 101 19745 1113/systemd-resolv
udp 0 0 127.0.0.1:53 0.0.0.0:* 111 19075 1004/named
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 18955 1173/dhclient
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 15042 816/dhclient
、予想されたタイムアウト (INPUT DROP ポリシーによる) ではなく、または少なくともICMP-Destination Unreachable (3)閉じられたポートのメッセージではなく、telnet を使用して上記のポートで TCP ハンドシェイクを取得します。
私が見つけた問題は、保存したiptableルールセット(iptables-save > /etc/iptables/rules.v4)でサーバーを再起動すると、サーバーが約5分間ハングアップするということです。
....
iscsi: registered transport (tcp)
iscsi: registered transport (user)
ログインを有効にする前に。
また、コマンドの実行には約15秒かかります。iptables -L