无法使用此 IPTABLES 规则集访问外部内容

无法使用此 IPTABLES 规则集访问外部内容

我的应用程序服务器位于受组织范围防火墙保护的网络上,并且我的服务器也使用fail2ban.也就是说,我想设置一个额外的保护层iptables。我的配置遇到了一些问题 - 特别是从应用程序服务器访问外部内容。

要求:

  1. 拒绝所有人访问,然后允许特定 IP 范围 (4.3.2.*)
  2. 能够从应用程序服务器检索外部内容

已知:

  • 应用服务器IP为1.2.3.4
  • 我的笔记本电脑的静态IP是4.3.2.1

我尝试过的:

iptables允许通过端口 22、80 和 443 进行流量的普通配置开始,我添加了以下内容。

# allow traffic from a specific IP range
iptables -A INPUT -s 4.3.2.0/24 -j ACCEPT

# allow traffic over LDAP port
iptables -A INPUT -p tcp --dport 636 -j ACCEPT

# keep existing traffic
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# deny all traffic
iptables --policy INPUT DROP

我使用 保存该配置service iptables save,然后重新启动服务。

这是iptables -L -v -n --line-numbers

Chain INPUT (policy DROP 461 packets, 81259 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1    11835 1095K fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
2    2972K 1083M ACCEPT     all  --  *      *       4.3.2.0/24           0.0.0.0/0           
3        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:636 
4    3747K  436M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 89676 packets, 26M bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain fail2ban-SSH (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1    11776 1092K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0       

问题:

我无法使用上述规则集访问外部内容。默认的输出策略是接受,所以我不确定问题是什么。我已经从应用程序本身以及简单地使用命令和使用 lynx 对此进行了测试https://some.site。如果我将默认的输入策略更改为接受,lynx 就能够提取内容。 INPUT 策略阻止内容加载是怎么回事?

答案1

解决了这个问题 - 这是一个简单的解决方案。我从单个外部系统 (1.1.1.99) 获取数据,但该 IP 不在我的规则集中并且被阻止。

所以添加这个并保存可以解决问题:

iptables -A INPUT -s 1.1.1.99 -j ACCEPT

相关内容