我使用 ManageWP 在我的 VPS 上备份 WordPress,然后将其上传到 Amazon S3。它失败了“错误 503 服务不可用”当我运行 iptables 时,在上传部分。当 iptables 服务停止时,AWS 上传工作正常。
过去,我会使用闪亮的 Ubuntu 应用程序来实现这一点,但现在我在 CentOS VPS 上,我不确定如何从控制台执行此操作。我读到iptables:找出哪个数据包被哪条规则阻止了?但不幸的是,大部分内容我都没能理解。
当 iptables 关闭时,我可以使用什么命令来查看从我的 VPS 到/从 Amazon AWS 建立了哪些连接,当 iptables 开启时这些连接被阻止了?
# iptables -L -v -n
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
22496 11M acctboth all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2096
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2095
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2083
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2082
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2087
5 430 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2086
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
639 131K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
81 5236 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:465
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:587
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:993
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
96 6076 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:990
18974 1719K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:49152:65535
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
17 1235 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
2568 9070K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
43 2780 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
73 11665 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:993
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2078
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2082
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2077
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:26
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8080
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:995
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2086
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2087
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2095
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:465
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2096
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:3306
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:2083
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:53
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 9269 packets, 60M bytes)
pkts bytes target prot opt in out source destination
9269 60M acctboth all -- * * 0.0.0.0/0 0.0.0.0/0
Chain acctboth (2 references)
pkts bytes target prot opt in out source destination
5597 50M tcp -- !lo * XXX.XX.XX.86 0.0.0.0/0 tcp dpt:80
18611 1009K tcp -- !lo * 0.0.0.0/0 XXX.XX.XX.86 tcp spt:80
0 0 tcp -- !lo * XXX.XX.XX.86 0.0.0.0/0 tcp dpt:25
0 0 tcp -- !lo * 0.0.0.0/0 XXX.XX.XX.86 tcp spt:25
0 0 tcp -- !lo * XXX.XX.XX.86 0.0.0.0/0 tcp dpt:110
0 0 tcp -- !lo * 0.0.0.0/0 XXX.XX.XX.86 tcp spt:110
2 160 icmp -- !lo * XXX.XX.XX.86 0.0.0.0/0
0 0 icmp -- !lo * 0.0.0.0/0 XXX.XX.XX.86
6696 51M tcp -- !lo * XXX.XX.XX.86 0.0.0.0/0
19858 1453K tcp -- !lo * 0.0.0.0/0 XXX.XX.XX.86
20 1666 udp -- !lo * XXX.XX.XX.86 0.0.0.0/0
20 3925 udp -- !lo * 0.0.0.0/0 XXX.XX.XX.86
6718 51M all -- !lo * XXX.XX.XX.86 0.0.0.0/0
19878 1457K all -- !lo * 0.0.0.0/0 XXX.XX.XX.86
0 0 tcp -- !lo * XXX.XX.XX.87 0.0.0.0/0 tcp dpt:80
0 0 tcp -- !lo * 0.0.0.0/0 XXX.XX.XX.87 tcp spt:80
0 0 tcp -- !lo * XXX.XX.XX.87 0.0.0.0/0 tcp dpt:25
0 0 tcp -- !lo * 0.0.0.0/0 XXX.XX.XX.87 tcp spt:25
0 0 tcp -- !lo * XXX.XX.XX.87 0.0.0.0/0 tcp dpt:110
0 0 tcp -- !lo * 0.0.0.0/0 XXX.XX.XX.87 tcp spt:110
4 320 icmp -- !lo * XXX.XX.XX.87 0.0.0.0/0
0 0 icmp -- !lo * 0.0.0.0/0 XXX.XX.XX.87
0 0 tcp -- !lo * XXX.XX.XX.87 0.0.0.0/0
4 208 tcp -- !lo * 0.0.0.0/0 XXX.XX.XX.87
6 1067 udp -- !lo * XXX.XX.XX.87 0.0.0.0/0
6 433 udp -- !lo * 0.0.0.0/0 XXX.XX.XX.87
10 1387 all -- !lo * XXX.XX.XX.87 0.0.0.0/0
10 641 all -- !lo * 0.0.0.0/0 XXX.XX.XX.87
28599 61M all -- !lo * 0.0.0.0/0 0.0.0.0/0
iptables-save 输出:
# iptables-save
# Generated by iptables-save v1.4.7 on Fri Jun 15 00:33:26 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [12433:68011185]
:acctboth - [0:0]
-A INPUT -j acctboth
-A INPUT -p tcp -m tcp --dport 2096 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2095 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2083 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2082 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2087 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2086 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 990 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 49152:65535 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p tcp -m state --state NEW -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2078 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2082 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2077 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 26 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2086 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2087 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2095 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 465 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2096 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2083 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -j acctboth
-A acctboth -s XXX.XX.XX.86/32 ! -i lo -p tcp -m tcp --dport 80
-A acctboth -d XXX.XX.XX.86/32 ! -i lo -p tcp -m tcp --sport 80
-A acctboth -s XXX.XX.XX.86/32 ! -i lo -p tcp -m tcp --dport 25
-A acctboth -d XXX.XX.XX.86/32 ! -i lo -p tcp -m tcp --sport 25
-A acctboth -s XXX.XX.XX.86/32 ! -i lo -p tcp -m tcp --dport 110
-A acctboth -d XXX.XX.XX.86/32 ! -i lo -p tcp -m tcp --sport 110
-A acctboth -s XXX.XX.XX.86/32 ! -i lo -p icmp
-A acctboth -d XXX.XX.XX.86/32 ! -i lo -p icmp
-A acctboth -s XXX.XX.XX.86/32 ! -i lo -p tcp
-A acctboth -d XXX.XX.XX.86/32 ! -i lo -p tcp
-A acctboth -s XXX.XX.XX.86/32 ! -i lo -p udp
-A acctboth -d XXX.XX.XX.86/32 ! -i lo -p udp
-A acctboth -s XXX.XX.XX.86/32 ! -i lo
-A acctboth -d XXX.XX.XX.86/32 ! -i lo
-A acctboth -s XXX.XX.XX.87/32 ! -i lo -p tcp -m tcp --dport 80
-A acctboth -d XXX.XX.XX.87/32 ! -i lo -p tcp -m tcp --sport 80
-A acctboth -s XXX.XX.XX.87/32 ! -i lo -p tcp -m tcp --dport 25
-A acctboth -d XXX.XX.XX.87/32 ! -i lo -p tcp -m tcp --sport 25
-A acctboth -s XXX.XX.XX.87/32 ! -i lo -p tcp -m tcp --dport 110
-A acctboth -d XXX.XX.XX.87/32 ! -i lo -p tcp -m tcp --sport 110
-A acctboth -s XXX.XX.XX.87/32 ! -i lo -p icmp
-A acctboth -d XXX.XX.XX.87/32 ! -i lo -p icmp
-A acctboth -s XXX.XX.XX.87/32 ! -i lo -p tcp
-A acctboth -d XXX.XX.XX.87/32 ! -i lo -p tcp
-A acctboth -s XXX.XX.XX.87/32 ! -i lo -p udp
-A acctboth -d XXX.XX.XX.87/32 ! -i lo -p udp
-A acctboth -s XXX.XX.XX.87/32 ! -i lo
-A acctboth -d XXX.XX.XX.87/32 ! -i lo
-A acctboth ! -i lo
COMMIT
# Completed on Fri Jun 15 00:33:26 2012
答案1
正如引用的帖子所说,您可以使用 iptables 计数器来查看发送新请求时哪些规则被命中。要使用的命令是:iptables -L -n -v。
另外,您可以使用任何数据包捕获工具(如 wireshark 或 tcpdump)查看到达防火墙的数据包。您可能错误地打开/关闭了错误的端口。
为了获得更好的帮助,您可以使用发布我们的 iptables 规则iptables-save。