ipables 配置
嘗試允許從外部世界連接到伺服器。連接埠掃描器報告連接埠未開啟。確認我的 iptables 設定正確後。
eth0 - 專用 LAN
tun0 - VPN 介面
ppp0 - 行動寬頻連線(ISP 沒有防火牆限制)
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -i ppp0 -p icmp -j ACCEPT
-A INPUT -i ppp0 -p udp -m multiport --dports 53,1194 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m multiport --dports 25,53,80,143,443,587 -j ACCEPT
希望 iptables 是罪魁禍首,否則我將花費更多時間在這台伺服器上工作。感謝您的幫助。
答案1
如果那是整體的防火牆規則集,那麼我同意您應該開放到 UDP 連接埠 53 和 1194 以及 TCP 連接埠 25、52、80、143、443 和 587 的流量。
如果您想更深入地了解問題是否出在您的防火牆上,請新增最後一行
-A INPUT -j LOG --log-prefix "INPUT DROP: "
並觀察是否有任何日誌條目出現在通常的位置(經常出現/var/log/messages,但這取決於您的rsyslog設定)。
如果封包仍然無法通過,但沒有記錄任何內容,您將更確信伺服器外的問題是存在的。順便說一句,連接埠掃描器並不是判斷您是否開啟 TCP 連接埠的最佳方法。例如telnet server 443從隨機客戶端嘗試。它比連接埠掃描器更簡單,因此失敗的可能性也更少,因此得出錯誤結論的風險也更小。
答案2
嘗試新增這一行,
-A INPUT -i ppp0 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT