我整晚都在浏览和阅读文档,但还是找不到任何解决方案......
我正在尝试让 iptables 在我的 VPS(Debian 7)上运行。
但我无法得到已建立连接的答案。"-m state --state"和 都"-m conntrack --ctstate"不起作用。 两者都导致 iptables:没有该名称的链/目标/匹配。
据我所知,状态已从 iptables 外包,并且 conntrack 未安装在我的系统上,并且无法安装,因为我没有网络接口系统的内核访问权限。我尝试从头开始安装它,但两次尝试(从软件包和从源代码)都失败了。我将系统更改为 Ubuntu 14.04 进行尝试,但也没有成功。
有什么解决方法或其他我可以做的事情吗?我经常使用 PF 和 OpenBSD 作为防火墙,所以我对 iptables 不太熟悉。
这是我添加的规则 - 我可能忘记了什么吗?
iptalbes -F
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j DROP
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP
除上述规则之外的所有规则均运行良好!
我发现以前这里问过这个问题,但没有有用的答案或解决方案。
我非常感谢任何提前提供的帮助:)
答案1
内核模块 nf_conntrack 是否存在于 /lib/modules//kernel/net/netfilter/ 中并已加载?如果存在,请尝试:
modprobe nf_conntrack