我经历了无数次尝试和错误,最近才发现我的 iptables 结果是阻止所有 LAN 和 WAN 活动的罪魁祸首。我知道这一点,因为如果我注释掉填充中的最后一行interfaces(如下所示),我就可以进行正常的 LAN 和 WAN 访问。但是,如果我不这样做,我可以 ping 我的路由器、任何其他节点或任何未解析的域。
我通过执行 再次检查了它是否是 iptables 规则集iptables-restore < /etc/iptables.rules。因此,这表明文件中的最后一行interfaces是合法的,进一步确认我的错误不是由于文件误用造成的interfaces。
auto lo
iface lo inet loopback
auto em1
iface em1 inet static
address 192.168.0.5
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 8.8.8.8
pre-up iptables-restore < /etc/iptables.rules
我的规则集有什么问题导致网络访问受到如此限制?
# Generated by iptables-save v1.4.21 on Sat May 3 01:24:30 2014
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [491:1788008]
:sshguard - [0:0]
-A INPUT -j sshguard
-A INPUT -p tcp -m tcp --dport 1019 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8112 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 58846 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 62598 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 137 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 138 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 139 -j ACCEPT
-P INPUT DROP
COMMIT
# Completed on Sat May 3 01:24:30 2014
答案1
我的第一个猜测是:你需要连接跟踪。
如果没有它,我相信对您的请求的回复流量会被过滤,这可能不是您想要的。
尝试在其他输入规则之前添加以下内容:
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT