CentOS 7 iptables 문제와 의심이 있습니까?

CentOS 7 iptables 문제와 의심이 있습니까?

VM VirtualBox(고정 IP가 있는 브리지 이더넷)에 CentOS 7 이미지가 있습니다. 필터 테이블을 설정하려고 했지만 iptables다음과 같은 문제가 있습니다.

포트 80에서 Apache를 열기 위해 수행한 모든 작업이 작동하지 않습니다(대신 iptables 서비스를 중지하면 문제 없이 웹 페이지를 로드할 수 있습니다). 브리지를 활성화하는 규칙을 작성하는 것이 가능한 해결책이라는 것을 어딘가에서 발견했습니다. 사실인가요? 어쨌든 기계에서 브리지 구성을 찾을 수 없습니다.

포트 22에 대한 기본 규칙을 삭제했는데 이제는 복원했다고 생각하더라도 SSH에서 로그인조차 할 수 없습니다.

iptables 파일은 다음과 같습니다.

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -j ACCEPT
-A INPUT -p tcp -m tcp --sport 137:139 --dport 137:139 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --ports 445 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
*mangle
:PREROUTING ACCEPT [48:5579]
:INPUT ACCEPT [47:5507]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [39:4446]
:POSTROUTING ACCEPT [54:7320]
COMMIT
*nat
:PREROUTING ACCEPT [23:1557]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [7:548]
:POSTROUTING ACCEPT [7:548]
COMMIT

답변1

문제는 다음과 같습니다.

-A INPUT -j REJECT --reject-with icmp-host-prohibited
## More rules

iptables는 모든 규칙을 순서대로 살펴보면 나중에 수락하더라도 모든 INPUT 패키지를 먼저 거부한다는 사실을 발견합니다. REJECT가 맨 끝에 있고 ACCEPTS가 맨 위에 있도록 규칙을 재정렬합니다. 또한 중복된 항목을 제거하십시오. 그러면 작동할 것입니다.

80포트와 22포트를 모두 접근할 수 없는 것도 바로 이 때문이다.

관련 정보