iptable localhost 连接报告被阻止,但工作正常

iptable localhost 连接报告被阻止,但工作正常

我正在使用 fwbuilder 并尝试设置允许lo接口和源 ip的规则127.0.0.1,如下所示:

$IPTABLES -A INPUT -i lo   -m state --state NEW  -j ACCEPT
$IPTABLES -A OUTPUT -o lo   -m state --state NEW  -j ACCEPT

...

$IPTABLES -A INPUT  -s 127.0.0.1   -m state --state NEW  -j ACCEPT
$IPTABLES -A OUTPUT  -s 127.0.0.1   -m state --state NEW  -j ACCEPT

连接似乎工作正常,但为什么我会看到几个这样的错误呢/var/log/syslog

RULE 4 -- DENY IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=43254 DF PROTO=TCP SPT=47654 DPT=4949 WINDOW=256 RES=0x00 ACK PSH FIN URGP=0

更新输出iptables -L -v

答案1

你能展示所有规则吗?要解决你的问题,只需制定规则:

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

答案2

您仅允许-m state --state NEW。假设您RELATED, ESTABLISHED在某处也有规则,您将看到一些像上面一样的数据包被拒绝,带有ACK PSH FIN或一些其他非新标志,内核状态跟踪器无法将其识别为已建立或相关连接的一部分。通常,这种情况发生在您重新启动 iptables 并重新加载连接跟踪模块后不久。

答案3

您在环回接口上拒绝了无效和未跟踪的数据包。
这可能会导致 icmp 数据包和其他数据包被丢弃。

查看 http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#STATEMACHINE和 man iptables

相关内容