我有一个 VPS,用于保护 Windows 服务器免受 DDOS 攻击,因此我有转发连接。
转发功能运行良好,但我无法使用 VPS 访问互联网。Ping 不起作用,我无法更新或安装 apt。
这是我的 Iptables 文件:
#RESET
/sbin/iptables -F
/sbin/iptables -X
echo -n '1' > /proc/sys/net/ipv4/ip_forward
echo -n '0' > /proc/sys/net/ipv4/conf/all/accept_source_route
echo -n '0' > /proc/sys/net/ipv4/conf/all/accept_redirects
echo -n '1' > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo -n '1' > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -I INPUT -i lo -j ACCEPT
#DROP SCAN
/sbin/iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
#DROP BROADCAST
/sbin/iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
#PORT OUVERT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#RDP Rules
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination XX.XX.XX.XX:3389
#MASQUER L'IP DES FORWARD
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
XX.XX.XX.XX 为示例。
为什么我在 iptables 处于活动状态的情况下无法访问互联网?
谢谢
答案1
您的 INPUT 链会丢弃动态打开的端口。我认为您应该接受与您的 OUTPUT 流量相关的包。在 DROP 规则之前添加此行:
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT