更新：解决方案不起作用

Question 1

我不知道为什么你需要在 53 和 80 上打开 INPUT，但如果这是为了接收 DNS 和 HTTP 的响应，那就错了。这是通过以下行完成的：

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

（正如在这个答案到你提到的帖子。）

Answer

我不知道为什么你需要在 53 和 80 上打开 INPUT，但如果这是为了接收 DNS 和 HTTP 的响应，那就错了。这是通过以下行完成的：

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

（正如在这个答案到你提到的帖子。）

Question 2

我已经通过测试系统深入研究了这一点的细节。

我能够正确配置iptables以下规则集并apt-get正确出站：

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53 state NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53 state NEW,RELATED,ESTABLISHED

这反映了您上面所述的最新配置。我能够apt-get正常工作，并且也能够毫无问题地进行 DNS 查询。

但是，请务必注意，您的系统在将主机名解析为 IP 地址时遇到问题，并且会出现解析错误。

确保您的/etc/resolv.conf配置正确，并且至少包含如下内容：

nameserver 8.8.8.8
nameserver 8.8.4.4

通过/etc/resolv.conf这种方式的设置，并iptables使用与您相同的规则集，我可以毫无问题地在面向 Internet 的系统以及我自己的可以连接到 Internet 的 LAN 子网内进行访问并获得正确的 DNS 解析来自网络内部。

对我来说，这更像是您的/etc/resolv.conf设置不正确，并且配置错误导致您的系统无法正确配置 DNS。

Answer

我已经通过测试系统深入研究了这一点的细节。

我能够正确配置iptables以下规则集并apt-get正确出站：

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53 state NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53 state NEW,RELATED,ESTABLISHED

这反映了您上面所述的最新配置。我能够apt-get正常工作，并且也能够毫无问题地进行 DNS 查询。

但是，请务必注意，您的系统在将主机名解析为 IP 地址时遇到问题，并且会出现解析错误。

确保您的/etc/resolv.conf配置正确，并且至少包含如下内容：

nameserver 8.8.8.8
nameserver 8.8.4.4

通过/etc/resolv.conf这种方式的设置，并iptables使用与您相同的规则集，我可以毫无问题地在面向 Internet 的系统以及我自己的可以连接到 Internet 的 LAN 子网内进行访问并获得正确的 DNS 解析来自网络内部。

对我来说，这更像是您的/etc/resolv.conf设置不正确，并且配置错误导致您的系统无法正确配置 DNS。

Question 3

大家好，在这个问题上打破了我可怜的头脑并浏览了 user147505 的回答 100 次之后，我终于弄清楚为什么它对我不起作用，这是我之前的设置：-

root@myserver:~# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:3652
2    ACCEPT     udp  --  anywhere             anywhere             udp dpt:51234
3    DROP       icmp --  anywhere             anywhere
4    DROP       all  --  anywhere             anywhere
5    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere
2    ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

如您所见，上面的“ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT”规则是在删除所有流量规则“iptables -A INPUT -j DROP”之后添加的，因为这apt update不起作用

所以最后我所做的就是像下面这样切换它们，然后一切都令人惊奇地工作：-

num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:3652
2    ACCEPT     udp  --  anywhere             anywhere             udp dpt:51234
3    DROP       icmp --  anywhere             anywhere
4    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
5    DROP       all  --  anywhere             anywhere

我猜我学到了一些关于 iptables 的知识，希望以后能参加一门课程来理解这个 jaba huba

Answer

大家好，在这个问题上打破了我可怜的头脑并浏览了 user147505 的回答 100 次之后，我终于弄清楚为什么它对我不起作用，这是我之前的设置：-

root@myserver:~# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:3652
2    ACCEPT     udp  --  anywhere             anywhere             udp dpt:51234
3    DROP       icmp --  anywhere             anywhere
4    DROP       all  --  anywhere             anywhere
5    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere
2    ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

如您所见，上面的“ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT”规则是在删除所有流量规则“iptables -A INPUT -j DROP”之后添加的，因为这apt update不起作用

所以最后我所做的就是像下面这样切换它们，然后一切都令人惊奇地工作：-

num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:3652
2    ACCEPT     udp  --  anywhere             anywhere             udp dpt:51234
3    DROP       icmp --  anywhere             anywhere
4    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
5    DROP       all  --  anywhere             anywhere

我猜我学到了一些关于 iptables 的知识，希望以后能参加一门课程来理解这个 jaba huba

更新：解决方案不起作用

更新：解决方案不起作用

答案1

答案2

答案3

相关内容