Ich habe ein CentOS 7-Image auf VM VirtualBox (überbrücktes Ethernet mit statischer IP). Ich habe versucht, eine Filtertabelle einzurichten, iptables
habe aber die folgenden Probleme:
Was auch immer ich getan habe, um Apache auf Port 80 zu öffnen, funktioniert nicht (stattdessen kann ich Webseiten problemlos laden, wenn ich den iptables-Dienst beende). Ich habe irgendwo gelesen, dass eine mögliche Lösung darin bestehen könnte, eine Regel zum Aktivieren der Bridge zu schreiben. Stimmt das? Jedenfalls kann ich auf dem Rechner keine Bridge-Konfiguration finden.
Ich habe die Standardregel für Port 22 gelöscht und kann mich jetzt nicht einmal von SSH aus anmelden, obwohl ich glaube, ich hätte sie wiederhergestellt.
Dies ist die iptables-Datei:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -j ACCEPT
-A INPUT -p tcp -m tcp --sport 137:139 --dport 137:139 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --ports 445 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
*mangle
:PREROUTING ACCEPT [48:5579]
:INPUT ACCEPT [47:5507]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [39:4446]
:POSTROUTING ACCEPT [54:7320]
COMMIT
*nat
:PREROUTING ACCEPT [23:1557]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [7:548]
:POSTROUTING ACCEPT [7:548]
COMMIT
Antwort1
Hier ist das Problem:
-A INPUT -j REJECT --reject-with icmp-host-prohibited
## More rules
iptables geht alle Regeln der Reihe nach durch und stellt fest, dass Sie alle INPUT-Pakete zuerst ablehnen, auch wenn Sie sie später akzeptieren. Ordnen Sie Ihre Regeln neu, sodass die REJECT-Regeln ganz am Ende und die ACCEPTS-Regeln ganz oben stehen. Entfernen Sie außerdem die doppelten Einträge. Dann sollte es funktionieren.
Dies ist der Grund dafür, dass Sie nicht auf die beiden Ports 80 und 22 gleichzeitig zugreifen können.