Я столкнулся с проблемой на недавно настроенном сервере в Hetzner-Cloud, работающем под управлением Ubuntu 18.04 LTS.
После установки Iptables(-persistent) и настройки следующего набора правил:
root@inetsec:/home/linus# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere 1.2.3.4 tcp dpt:272
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Мне по-прежнему удаётся успешно выполнить TCP-рукопожатие с помощью Telnet, используя несколько других портов (110, 143, 25, 993).
Тем не менее, приложения, отвечающие за эти порты (Dovecot и Postfix), даже не запущены и netstat -tulpenпоказывают:
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 112 20485 1198/mysqld
tcp 0 0 1.2.3.4:272 0.0.0.0:* LISTEN 0 18773 1047/sshd
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 101 19746 1113/systemd-resolv
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 111 19076 1004/named
udp 0 0 127.0.0.53:53 0.0.0.0:* 101 19745 1113/systemd-resolv
udp 0 0 127.0.0.1:53 0.0.0.0:* 111 19075 1004/named
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 18955 1173/dhclient
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 15042 816/dhclient
, я по-прежнему получаю TCP-Handshake на указанных портах с помощью telnet вместо ожидаемого тайм-аута (из-за политики INPUT DROP) или, по крайней мере, сообщения ICMP-Destination Unreachable (3)для закрытых портов.
Проблема, которую я обнаружил, заключается в том, что если я перезагружаю сервер с сохраненным набором правил iptable ( iptables-save > /etc/iptables/rules.v4), сервер зависает примерно на 5 минут в состоянии
....
iscsi: registered transport (tcp)
iscsi: registered transport (user)
перед включением входа в систему.
Также выполнение команды занимает около 15 секунд.iptables -L