У меня есть образ CentOS 7 на виртуальной машине VirtualBox (мостовой Ethernet со статическим IP). Я пытался настроить iptablesтаблицу фильтров, но у меня возникли следующие проблемы:
Что бы я ни делал, чтобы открыть Apache на порту 80, это не работает (вместо этого, если я остановлю службу iptables, я смогу загружать веб-страницы без проблем). Я где-то нашел, что возможным решением может быть написание правила для включения моста. Это правда? В любом случае, я не могу найти никакой конфигурации моста на машине.
Я удалил правило по умолчанию для порта 22 и теперь не могу войти даже по SSH, хотя мне кажется, что я его восстановил.
Это файл iptables:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -j ACCEPT
-A INPUT -p tcp -m tcp --sport 137:139 --dport 137:139 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --ports 445 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
*mangle
:PREROUTING ACCEPT [48:5579]
:INPUT ACCEPT [47:5507]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [39:4446]
:POSTROUTING ACCEPT [54:7320]
COMMIT
*nat
:PREROUTING ACCEPT [23:1557]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [7:548]
:POSTROUTING ACCEPT [7:548]
COMMIT
решение1
Вот в чем проблема:
-A INPUT -j REJECT --reject-with icmp-host-prohibited
## More rules
iptables проходит по всем правилам по порядку, он обнаруживает, что вы сначала отклоняете все пакеты INPUT, даже если вы принимаете их позже. Измените порядок правил так, чтобы REJECT был в самом конце, а ACCEPTS — в самом верху. Также удалите дублирующиеся записи. Тогда это должно сработать.
Именно по этой причине вы не можете получить доступ одновременно к 80 и 22 портам.